-
Junior Member
- Вес репутации
- 52
crccs подобный вирус или его модификация
Здравствуйте!
Несколько месяцев назад компьютерную сеть из 10 компьютеров поразил crccsвирус. Было проведено все необходимое для этого лечение и вредонос пропал.
И вот несколько дней назад признаки его появились снова, во всех расшареных папка начали появляться нулёвые файлики типа khx kht итд. и естественно экзешники со случайными именами. Но самого как такового crccs (ни его аналогов cftmen.exe cftm.exe) не в процессах не в реестре ни в system32 нет. После неоднократного лечения несколькими антивирусами, чистки всех темпов проблема локализовалась на одной машине, логи с которой и прилагаются. С помощью программы LanWork было установлено, что через интернет с разных IP (видимо с других зараженных машин) в мои расшаренные папки (в первую очередь в папку с зеркалом баз нода) летят все теже приславутые exe и kht, khx. Вылечить самостоятельно не могу, пожалуйста помогите!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('d:\3 глбух\DRV\WCPU\NRKCTL32.SYS','');
QuarantineFile('C:\OSGeo4W\apps\qgis\plugins\copyrightlabelplugin.dll','');
DeleteFile('H:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 52
Скрипты выполнил, карантин прислал! h:\autorun.inf - так называемая вакцина от Panda usb vaccine.
-
Обновить систему надо. Поставить обновления хотя бы безопасности, а лучше SP3.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
давайте сделаем так
вот это -
Windows XP SP2
Internet Explorer v7.00
- надо срочно обновить
Необходимо поставить:
- SP2 обновить до Service Pack 3(может потребоваться активация)
- все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установить Internet-Explorer 8.(даже если Вы его не используете)
- Обновить Java .
как сделаете - выложите новый комплект логов!!!
-
-
Junior Member
- Вес репутации
- 52
Спасибо большое, Сейчас буду обновляться!
-
Junior Member
- Вес репутации
- 52
Все обновы поставил. Выкладываю новые логи.
-
-
-
Junior Member
- Вес репутации
- 52
После обновления не было ни одной атаки, или какого-нибудь проявления этой гадости, заплатки однозначно помогли!! Огромное спасибо! Но вредонос же вероятно по прежнему сидит где то в системе, просто связанный по рукам и ногам?
-
сделайте полную проверку а/вирусом с последними базами.
Можно сделать лог MBAM. Мусор зачистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Ну здесь я уже самостоятельно разберусь!!!
PavelA,
polword, спасибо Вам вы мне очень помогли, еще одной заразой стало меньше на этом свете! Вирус побежден!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-