crccs подобный вирус или его модификация

[MrGreenM]

Здравствуйте!
Несколько месяцев назад компьютерную сеть из 10 компьютеров поразил crccsвирус. Было проведено все необходимое для этого лечение и вредонос пропал.
И вот несколько дней назад признаки его появились снова, во всех расшареных папка начали появляться нулёвые файлики типа khx kht итд. и естественно экзешники со случайными именами. Но самого как такового crccs (ни его аналогов cftmen.exe cftm.exe) не в процессах не в реестре ни в system32 нет. После неоднократного лечения несколькими антивирусами, чистки всех темпов проблема локализовалась на одной машине, логи с которой и прилагаются. С помощью программы LanWork было установлено, что через интернет с разных IP (видимо с других зараженных машин) в мои расшаренные папки (в первую очередь в папку с зеркалом баз нода) летят все теже приславутые exe и kht, khx. Вылечить самостоятельно не могу, пожалуйста помогите!

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('d:\3 глбух\DRV\WCPU\NRKCTL32.SYS','');
 QuarantineFile('C:\OSGeo4W\apps\qgis\plugins\copyrightlabelplugin.dll','');
 DeleteFile('H:\autorun.inf');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

[MrGreenM]

Скрипты выполнил, карантин прислал! h:\autorun.inf - так называемая вакцина от Panda usb vaccine.

[PavelA]

Обновить систему надо. Поставить обновления хотя бы безопасности, а лучше SP3.

[polword]

давайте сделаем так
вот это -

Windows XP SP2
Internet Explorer v7.00

- надо срочно обновить

Необходимо поставить:
- SP2 обновить до Service Pack 3(может потребоваться активация)
- все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

- Установить Internet-Explorer 8.(даже если Вы его не используете)
- Обновить Java .
как сделаете - выложите новый комплект логов!!!

[MrGreenM]

Спасибо большое, Сейчас буду обновляться!

[MrGreenM]

Все обновы поставил. Выкладываю новые логи.

[polword]

в логах чисто

[MrGreenM]

После обновления не было ни одной атаки, или какого-нибудь проявления этой гадости, заплатки однозначно помогли!! Огромное спасибо! Но вредонос же вероятно по прежнему сидит где то в системе, просто связанный по рукам и ногам?

[PavelA]

сделайте полную проверку а/вирусом с последними базами.
Можно сделать лог MBAM. Мусор зачистить.

[MrGreenM]

Ну здесь я уже самостоятельно разберусь!!!
PavelA,
polword, спасибо Вам вы мне очень помогли, еще одной заразой стало меньше на этом свете! Вирус побежден!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения вредоносные программы в карантинах не обнаружены