autorun.inf csrcs и svchost.
Об этом уже писалось. Выполнял типичное лечение csrcs под номеро 16. Так же ручками пролечивал много раз. Чистил все что можно. Носится это все флешками. АВ видят, но только авторан удаляют. Иногда видят svchost из С:\Windows\Offline Webpages. Вирусняк упорно гуляет ни смотря ни на что. Вот сейчас опять явился на одной из машин.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Автозапуск флешек отключен?
Добавлено через 5 минут
Профиксить:
Выполнить:Код:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
Сделать заново логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('E:\autorun.inf'); DeleteFile('E:\recycled\sys.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); BC_ImportDeletedList; ExecuteRepair(16); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42132
Прочитай тему в "Чаво" про отключение автозапуска.
Последний раз редактировалось PavelA; 20.03.2009 в 17:14. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
То есть до тех пора включен автозапуск с этим вирусом ничего не поделать?
После выполнения скрипта файл C:\Windows\Offline Webpages\svchost.exe продолжал работу. В системе он прописан как служба System Sheduler. Вычищал комп до этого вручную - правил все значения реестра, содержащие csrcs и C:\Windows\Offline Webpages\svchost.exe. Не помогало.
Я написал на тот случай, если вдруг придется снова вставлять флешку в комп.
Дело просто в том, что AVZ этот сервис удаляет.
Отключим автозапуск - исключим его(сервиса) возникновения через флешку.
Второй вариант: гуляние малваре по сетке. Крепкий пароль на Администратора тоже необходим.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Авз его удаляет. Я его тоже удаляю, но он появляется снова.
То есть даже при выключенном автозапуске, но при открытых сетевых папках вирус все равно будет гулять по сети используя уязвимости в виндовсе? Проникает он используя пустые пароли админской учетки и разрешенных анонимных или гостевых пользователей?
Поможет ли установка пароля (а почему крепкий нужен? он что по словарю пароли перебирает к админке?) и запрещение учетной записи гостя?
Спасибо.
Да.Сообщение от qoma
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( BitDefender: Trojan.Heur.AutoIT.1 )
- e:\autorun.inf - Worm.Win32.VB.fi ( DrWEB: Win32.HLLW.Autoruner, BitDefender: Trojan.ATR )
- e:\recycled\sys.exe - Worm.Win32.AutoRun.rr ( DrWEB: Win32.HLLW.Autoruner.239 )
Уважаемый(ая) qoma, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
