Win32/Packed.Autoit.Gen достал.
При заражении скачаиваются файлы autorun.inf и jwgkvsq.vmx, который
скачивается в папку C:\RECYCLER\S-5-3-42-.....
Пробовал НОДом удалить вирус - он его нашёл и удалил, но после перезагрузки он опять появился.
Этот червяк создает в сети, в расшаренных папках нулевой файл khq or khs
и экзешник с рамдоным именем (например xdejni.exe
Win32/Packed.Autoit.Gen).
вобщем откуда появляются эти два файла? а создает их вердный процесс
на зараженной машине в расшаренных папках. А зараженная машина та,
на которой имеется процесс csrcs.exe , запущенный от имени пользователя.
Проблема существует достаточно долго, просто не мог понять какая же из машин в сети заражена, оказалось не только мои ,котрые а вычислил и вылечил, но тачки других предприятий АПК.
Помог Commview , я сравнивал логи по времени атаки нода и записанные сессии Commview, таким образом отловил гада.
Лечение: Чистим реестр.
Вводим в окно поиска “csrcs.exe” и жмем найти далее. Удаляем найденные ключи, при этом, когда мы находим значение “Explorer.exe csrcs.exe“, то нужно его изменить, удалив “csrcs.exe” (останется Explorer.exe)
вирусы и лечение
-
- Сообщения: 22
- Зарегистрирован: 16 янв 2009, 11:53
- Откуда: г.Сафоново, Смоленская обл.
- Контактная информация:
вирусы и лечение
Последний раз редактировалось elektron 04 сен 2009, 08:18, всего редактировалось 2 раза.
Re: вирусы и лечение
поподробнее можн, как вычислил машину? в смысле про comview?
-
- Сообщения: 22
- Зарегистрирован: 16 янв 2009, 11:53
- Откуда: г.Сафоново, Смоленская обл.
- Контактная информация:
Re: вирусы и лечение
Вычислил так: на тачку, которую постоянно атакует червь, сталю комвьювер включаю запись логов и жду когда антивирус словит вирусняк, смотрю логи антивируса и ищу в логах комвьювенра сессии совадающие по времени с атакой вируса и вижу айпи назойлевого компа.
Антивирь не всегда ругается на полученные экзешники, поэтому о времени заражения узнаю по дате пустого файла в разшаренной папке.
Антивирь не всегда ругается на полученные экзешники, поэтому о времени заражения узнаю по дате пустого файла в разшаренной папке.