Показано с 1 по 9 из 9.

Юзер занес на флешке вирусов. (заявка № 85324)

  1. #1
    Junior Member Репутация
    Регистрация
    15.07.2009
    Сообщений
    39
    Вес репутации
    31

    Exclamation Юзер занес на флешке вирусов.

    Машина к Интернету не подключена. Подключена к локальной сети с сервером. Установлен корпоративный Symantec 7.5. Компы в сети обновляются с сервера.
    При автоматической проверке антивир сообщает: «Функция автоматической защиты среагировала на угрозы», далее удлиняющийся список из «W32.Virut.CE» с указанием успеха в колонке действий.
    Поначалу очень сильно тормозило при загрузке, особенно рабочий стол долго загружался.
    После лечения вручную AVZ (там кое-что нашлось и удалилось), отключения от локальной сети и отключения автозапуска стало получше, но все равно рабочий стол очень долго запускается (намного позже антивируса и множества найденных угроз). И Symantec продолжает ругаться.
    На флешке до лечения AVZ постоянно проявлялся autorun.inf и explorer.exe, потом пропали (может из-за отключения автозапуска)
    На других компах в сети ничего такого не обнаружено. Только при проверке с сервера определяются те же угрозы.
    Плюс периодически (в т.ч. при выполнении скрипта «лечения…» высвечивается окно «Защита файлов Windows» «Файлы, нужные для правильной работы Windows, были заменены неизвестными копиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Теперь вставьте WindowsXP Professional CD-ROM». Выполнение ничего не дает. Сначала вроде съедает дистриб, но ничего не происходит. Потом после перезагрузки (вручную) и выполнения скрипта опять выпало.
    Часто выпадают ошибки Symantec типа «память по адресу… не может быть read… приложение будет закрыто».
    P.S. Если можно, ответьте также, может ли эта зараза по сети распространиться и с какой вероятностью.
    P.P.S. При выполнении скрипта «сбора информации...» подключался к локальной сети.


    Заранее очень благодарен.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    - Отключите Антивирус и Файрвол.

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\drivers\Sleen17.sys','');
     QuarantineFile('c:\windows\system32\mmc.exe','');
     QuarantineFile('c:\windows\explorer.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    15.07.2009
    Сообщений
    39
    Вес репутации
    31
    СДелал, только почему-то карантин не в zip-архиве создался а в каталоге. Заархивировал AVZ - получился virus.zip.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Файлы чистые.
    «Файлы, нужные для правильной работы Windows, были заменены неизвестными копиями.
    sfc /scannow делали?

  6. #5
    Junior Member Репутация
    Регистрация
    15.07.2009
    Сообщений
    39
    Вес репутации
    31
    нет, это из cmd?? Если сделать поможет от дальнейшей подмены??

    Добавлено через 7 часов 44 минуты

    Извините за назойливость, но пока не понял, что же мне делать сейчас?
    Как там с логами и т.п.?
    Комп скоро будет очень нужен.
    Последний раз редактировалось Bunch; 15.08.2010 в 01:02. Причина: Добавлено

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    sfc /scannow - проверка целостности системных файлов
    http://support.microsoft.com/kb/310747/ru
    http://forum.oszone.net/thread-40792.html
    Paula rhei.
    Поддержать проект можно тут

  8. #7
    Junior Member Репутация
    Регистрация
    15.07.2009
    Сообщений
    39
    Вес репутации
    31
    При запуске symantec уже не находит угроз, хотя один раз закрылся с ошибкой (выше описана).
    При проверке системных файлов (sfc /scannow) Windows отказался принять диск с SP3 (говорит неправильный). Пришлось толкать родной (лицензионный) с SP2. После перезагрузки на всякий случай поставил сверху SP3.
    Сделал новые логи.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     QuarantineFile('C:\Program Files\\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll','');
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SENS\Parameters','ServiceDll');
     DeleteFile('C:\Program Files\\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll');
     BC_ImportDeletedList;
     BC_Activate; 
    end.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Выполните в AVZ скрипт из файла ScanVuln.txt.
    Пройдитесь по ссылкам в протоколе AVZ и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

    Жалобы есть?

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Bunch, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 19.04.2012, 13:57
    2. появление вирусов на флешке (заявка №62630)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 30.03.2011, 11:00
    3. Проблема с юзер.ини
      От Immelstorn в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.09.2010, 11:34
    4. Опять юзер в корзине
      От Chainick в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.05.2010, 22:25
    5. Подозреваю что занес с флешки вирус
      От Dunkelheit в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.04.2009, 14:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01593 seconds with 16 queries