вирусы и лечение

Рекомендации по исправлению косяков на ОС семейства мелкомягких
Ответить
elektron
Сообщения: 22
Зарегистрирован: 16 янв 2009, 11:53
Откуда: г.Сафоново, Смоленская обл.
Контактная информация:

вирусы и лечение

Сообщение elektron »

Win32/Packed.Autoit.Gen достал. :evil:
При заражении скачаиваются файлы autorun.inf и jwgkvsq.vmx, который
скачивается в папку C:\RECYCLER\S-5-3-42-.....
Пробовал НОДом удалить вирус - он его нашёл и удалил, но после перезагрузки он опять появился.

Этот червяк создает в сети, в расшаренных папках нулевой файл khq or khs
и экзешник с рамдоным именем (например xdejni.exe
Win32/Packed.Autoit.Gen).
вобщем откуда появляются эти два файла? а создает их вердный процесс
на зараженной машине в расшаренных папках. А зараженная машина та,
на которой имеется процесс csrcs.exe , запущенный от имени пользователя.
Проблема существует достаточно долго, просто не мог понять какая же из машин в сети заражена, оказалось не только мои ,котрые а вычислил и вылечил, но тачки других предприятий АПК.
Помог Commview , я сравнивал логи по времени атаки нода и записанные сессии Commview, таким образом отловил гада.

Лечение: Чистим реестр.
Вводим в окно поиска “csrcs.exe” и жмем найти далее. Удаляем найденные ключи, при этом, когда мы находим значение “Explorer.exe csrcs.exe“, то нужно его изменить, удалив “csrcs.exe” (останется Explorer.exe)
Последний раз редактировалось elektron 04 сен 2009, 08:18, всего редактировалось 2 раза.
ВВТ
Сообщения: 6
Зарегистрирован: 26 янв 2009, 11:17
Откуда: HH

Re: вирусы и лечение

Сообщение ВВТ »

поподробнее можн, как вычислил машину? в смысле про comview?
elektron
Сообщения: 22
Зарегистрирован: 16 янв 2009, 11:53
Откуда: г.Сафоново, Смоленская обл.
Контактная информация:

Re: вирусы и лечение

Сообщение elektron »

Вычислил так: на тачку, которую постоянно атакует червь, сталю комвьювер включаю запись логов и жду когда антивирус словит вирусняк, смотрю логи антивируса и ищу в логах комвьювенра сессии совадающие по времени с атакой вируса и вижу айпи назойлевого компа.
Антивирь не всегда ругается на полученные экзешники, поэтому о времени заражения узнаю по дате пустого файла в разшаренной папке.
Ответить