16.09.2016, 23:02 | #1 (permalink) |
Member
Регистрация: 23.11.2010
Сообщений: 146
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Поиск вирусов
Они мне на общем диске собрали все файлы в папку и создали своих файлов! (Теперь не знаю как все вернуть на место) Если удалить созданные вирусом файлы то они снова создаются! |
16.09.2016, 23:02 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Похожие темы на нашем форуме, почитайте Поиск вирусов Очистка от вирусов Поиск вирусов, вызывающих появление "синего экрана" McAfee AVERT Stinger 10.1.0.838: поиск вирусов Куча вирусов... |
17.09.2016, 05:02 | #2 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
доступ к общему диску отключите, пока не пролечите все компы.
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemRoot%\M-505045058025025030484340240\WINMGR.EXE addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 8 da_vinci_code zoo %SystemDrive%\PROGRAMDATA\WINADDRS.EXE addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb] zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\TEMPLATES\CVMONT.EXE zoo %SystemDrive%\USERS\NATA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF zoo %SystemDrive%\USERS\MELLER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF zoo %SystemDrive%\PROGRAMDATA\LOCAL SETTINGS\TEMP\CCIIOUHX.COM addsgn A7679BF0AA02EC024BD4C67928881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0BF0C49F75C4C32EF4CAE49513DA3BE4AC965B2FC706AB7E 8 Downloader.Wauchos.L [ESET-NOD32] zoo %SystemDrive%\USERS\NATA\APPDATA\LOCAL\TEMP\ZYSRIHCJEDYSVQLKFAZYSNIDYFAUPKBB.COM zoo %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\120\SHARED\SQLWTSN.EXE addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 kemu zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\CQLMEHUSXG.EXE regt 5 delall Z:\AUTORUN.INF ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\NATA\APPDATA\LOCAL\ATGRWORKS\BQZPAKMN.DLL del %SystemDrive%\USERS\NATA\APPDATA\LOCAL\ATGRWORKS\BQZPAKMN.DLL delref %SystemDrive%\USERS\NATA\APPDATA\LOCAL\UWFMEDIA\WNPWEVKG.DLL del %SystemDrive%\USERS\NATA\APPDATA\LOCAL\UWFMEDIA\WNPWEVKG.DLL deltmp delnfr ;------------------------------------------------------------- czoo restart архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru ---------- + добавьте новый образ автозапуска. (вполне возможно, что это файловое заражение.) |
18.09.2016, 01:10 | #3 (permalink) | |
Member
Регистрация: 23.11.2010
Сообщений: 146
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Буду на работе попробую! Мне этот скрипт запустить на всех зараженых компьютерах?
И еще Цитата:
|
|
18.09.2016, 06:12 | #4 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
пока по одной машине надо разобраться, с чем мы имеем дело: трояны и сетевые черви или файловые вирусы.
Цитата:
|
|
19.09.2016, 18:57 | #5 (permalink) |
Member
Регистрация: 23.11.2010
Сообщений: 146
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Вроде помогло! Спасибо!
Выкладываю повторный образ! Что мне делать с оставшимися компьютерами? |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
19.09.2016, 19:36 | #6 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
@KEHU,
судя по повторному образу сейчас чисто на этом компе. добавьте теперь образы автозапуска с оставшихся двух машин. + это выполните с первой машины. Цитата:
|
|
19.09.2016, 20:40 | #7 (permalink) | |
Member
Регистрация: 23.11.2010
Сообщений: 146
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Цитата:
Тот который MALU я уверен и занес всю эту заразу!!! Вышлю обязательно! Как доберусь до своего компа! |
|
20.09.2016, 05:38 | #8 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
по компу malu:
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 64 Win32/Phorpiex.C [ESET-NOD32] zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF zoo %SystemDrive%\USERS\MALU\M-505045058025025030484340240\WINMGR.EXE zoo %SystemDrive%\USERS\MALU\M-505024405023950353820304013020\WINSVC.EXE addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 Win32/Agent.YEP [ESET-NOD32] zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\FBMPQZSUWK.EXE zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\JHDXKHDZHL.EXE zoo %SystemDrive%\USERS\MALU\APPDATA\ROAMING\ARUUWLRMGR.EXE adddir %SystemDrive%\USERS\MALU\APPDATA\ROAMING ;------------------------autoscript--------------------------- chklst delvir delref HTTP://OVGORSKIY.RU deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
20.09.2016, 05:42 | #9 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
по компу 3-pcv:
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\TEMPLATES\CVMONT.EXE addsgn A7679B235E6A4C7261D4C4B12DBDEBBDFDFFB9F6613DF9827AF005E938F4C80923733C675ADCBDA1A7887F60C3D637A5F49A04B5503E826A2D76A42FC78B779B 16 Trojan.Fakealert.47332 [DrWeb] zoo %SystemDrive%\PROGRAMDATA\WINADDRS.EXE zoo %SystemRoot%\M-505045058025025030484340240\WINMGR.EXE addsgn A7679BF0AA0294071BD4C6D909D81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544491E05682F99625583332135F5B42F38852F6F 64 Win32/Phorpiex.C [ESET-NOD32] zoo %SystemDrive%\USERS\33\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.PIF zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\GWOQYQDFGQ.EXE addsgn A7679BF0AA025C424FD4C6C9F28A1261848AFCF689AA7BF1A0C3C5BC5055B5E4704194DE5BBD625CCB30C69F75C4C32EF4CAE83013DA3BE4AC965B2FC706AB7E 8 Win32/Agent.YEP [ESET-NOD32] ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\33\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.19.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP://OVGORSKIY.RU deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
20.09.2016, 21:10 | #10 (permalink) |
Member
Регистрация: 23.11.2010
Сообщений: 146
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Все все проблемы решились спасибо чудо люди!
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|