вирусы и лечение
Добавлено: 03 сен 2009, 10:45
Win32/Packed.Autoit.Gen достал. 
При заражении скачаиваются файлы autorun.inf и jwgkvsq.vmx, который
скачивается в папку C:\RECYCLER\S-5-3-42-.....
Пробовал НОДом удалить вирус - он его нашёл и удалил, но после перезагрузки он опять появился.
Этот червяк создает в сети, в расшаренных папках нулевой файл khq or khs
и экзешник с рамдоным именем (например xdejni.exe
Win32/Packed.Autoit.Gen).
вобщем откуда появляются эти два файла? а создает их вердный процесс
на зараженной машине в расшаренных папках. А зараженная машина та,
на которой имеется процесс csrcs.exe , запущенный от имени пользователя.
Проблема существует достаточно долго, просто не мог понять какая же из машин в сети заражена, оказалось не только мои ,котрые а вычислил и вылечил, но тачки других предприятий АПК.
Помог Commview , я сравнивал логи по времени атаки нода и записанные сессии Commview, таким образом отловил гада.
Лечение: Чистим реестр.
Вводим в окно поиска “csrcs.exe” и жмем найти далее. Удаляем найденные ключи, при этом, когда мы находим значение “Explorer.exe csrcs.exe“, то нужно его изменить, удалив “csrcs.exe” (останется Explorer.exe)
При заражении скачаиваются файлы autorun.inf и jwgkvsq.vmx, который
скачивается в папку C:\RECYCLER\S-5-3-42-.....
Пробовал НОДом удалить вирус - он его нашёл и удалил, но после перезагрузки он опять появился.
Этот червяк создает в сети, в расшаренных папках нулевой файл khq or khs
и экзешник с рамдоным именем (например xdejni.exe
Win32/Packed.Autoit.Gen).
вобщем откуда появляются эти два файла? а создает их вердный процесс
на зараженной машине в расшаренных папках. А зараженная машина та,
на которой имеется процесс csrcs.exe , запущенный от имени пользователя.
Проблема существует достаточно долго, просто не мог понять какая же из машин в сети заражена, оказалось не только мои ,котрые а вычислил и вылечил, но тачки других предприятий АПК.
Помог Commview , я сравнивал логи по времени атаки нода и записанные сессии Commview, таким образом отловил гада.
Лечение: Чистим реестр.
Вводим в окно поиска “csrcs.exe” и жмем найти далее. Удаляем найденные ключи, при этом, когда мы находим значение “Explorer.exe csrcs.exe“, то нужно его изменить, удалив “csrcs.exe” (останется Explorer.exe)