Новый сетевой троян.

**MrShiva** · 30.03.2010, 18:59

Привет всем!
Возникла огромная проблема с сетевым вирусом. Ни один антивирус его не определяет, Cureit. Уже не знаю, что делать, заражена вся сеть.
Вирус копирует файл svchost.exe в
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
Затем антивирус мой его благополучно убивает и комп выключается. И так каждый раз на всех компах сети (40 штук). ОС стоят и Win2003 и XP.

Пока решил проблему включением брандмауера на всех сетевых ПК - компы перестали перегружаться, юзеры работают, но вирусня виситна ПК и серваках.

Если удаляю с автозагрузки - то файлы снова создаются. Но и в добавок сменились обои рабочего стола, файл b.bmp, изображение взрыва на весь экран.

Прошу Вас помочь, почему то АВЗ не скопировал svchost.exe, если надо могу его дополнительно прислать с b.bmp, отдельно в архивчике.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 30.03.2010, 21:00

Отключиться от сети и выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\ADMINI~1.ULC\LOCALS~1\Temp\2\esihdrv.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\svchost.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по Правилам.

**MrShiva** · 31.03.2010, 08:47

Выполнил скрипт, вроде даже из автозагрузки ушёл этот файлик, надолго ли только ...
Файлик приложил

**PavelA** · 31.03.2010, 09:24

Карантин загрузите через красную ссылку вверху темы. Отсюда удалите.

**MrShiva** · 31.03.2010, 10:58

Загрузил файл через ссылку вверху тему, отсюда удалил. Спасибо заранее.

**PavelA** · 31.03.2010, 11:26

Файл ушел в обработку в ЛК.

**MrShiva** · 01.04.2010, 17:59

Павел, а ответа ещё нет? Спасибо.
Вирь даже Аутпост обходит

уже не знаю, чем лечиться...

**thyrex** · 01.04.2010, 18:26

Сообщение от MrShiva

а ответа ещё нет?

новый зловред - Backdoor.Win32.Delf.twd

Новые логи сделайте

**MrShiva** · 01.04.2010, 18:57

Какие именно логи?
Я думаю, что они не изменятся.
Сейчас наблюдаю, что на прокси-сервер запущено всегда 2 свцхоста (вирусных).
Посмотрел их сетевую активность - создают левые порты для прослушивания и совершения подключений к новым жертвам.

**thyrex** · 01.04.2010, 19:01

Сообщение от MrShiva

Какие именно логи?

Выполните правила еще раз

**PavelA** · 02.04.2010, 09:24

Какие именно логи?
Я думаю, что они не изменятся.
---
Я файлик удалял, так что логи должны были измениться.

**MrShiva** · 06.04.2010, 09:42

Вообщем, нашли временное решение, забрали все права на этот файлик свцхост, вирус не запускается, вроде всё норм.

Просто я сейчас даже боюсь его снова авз проходить - серваки должны всё время работать, понимаете.

**AndreyKa** · 10.04.2010, 01:15

Странно, что это: Windows 2003 SP1 ещё работает.

**CyberHelper** · 11.04.2010, 01:15

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\all users\start menu\programs\startup\svchost.exe - Backdoor.Win32.Delf.twd ( BitDefender: Gen:Trojan.Heur.ZG0@t5wH94fcb, AVAST4: Win32:Malware-gen )

Новый сетевой троян. (заявка № 74935)

Опции темы

Новый сетевой троян.

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Новый сетевой червь

Новый троян

Кажеться новый троян.

Ваши права в разделе