Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1580 1581 1582 1583 1584 1585 1586 1587 1588 1589 1590 ... 1783 След.
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 13:47:39
закачал, вот такой скрипт выполните в uVS,
после перезагрузки, повторите образ автозапуска.
обратите внимание чтобы все флэшки были чистые, иначе повторное ее заразите,
так же установить антивирус с актуальными базами (обновить можно с локального зеркала), и выполнить полное сканирование системы,

пока машину не пускайте в сеть.
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 13:38:42
или сделайте перепост лога uVS, но только в добавьте его в архив
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 13:37:15
скорость упала при скачивании файла, медленно качается, ждите...
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 13:27:48
[QUOTE]Игорь Лобзиков пишет:
сейчас пришлю лог с неё, осталось понять почему там не действуют права админа[/QUOTE]
там возможны следующие изменения:

[QUOTE]The following registry entries are set, disabling system software:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Syst­em
DisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Syst­em
DisableRegistryTools
1

The following registry entry is also set:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Expl­orer
NofolderOptions
1[/QUOTE]
т.е. не запускаются regedit, диспетчер процессов, не отображаются свойства папки и проч...
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 13:14:37
[QUOTE]Игорь Лобзиков пишет:
нет не все машины с актуальными базами, одна была нет, она и есть источник, а точнее внешний носитель, недавно вставлялся([/QUOTE]
тогда проще, НОД должен выдержать атаку сетевого червя,
а вот с той зараженной машины, сделайте, пожалуйста, логи uVS, но машина, естественно до момента излечения должна быть выключена из сети,

На всех остальных машинах надо запустить полное сканирование всех дисков АНТИВИРУСОМ
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 13:12:41
[QUOTE]Игорь Лобзиков пишет:

можно немного детальней[/QUOTE]

при старте uVS есть возможность подключиться к удаленной машине по IP адресу, необходимо указать IP, выбрать текущего поьзователя (если вы являетесь администратором на удаленной машине)
и выполнить указанный скрипт,
(обратите внимание, что я внес исправление)
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 13:03:28
возможно, такой скрипт поможет вычистить червя на удаленной машине из автозапуска.

[QUOTE];uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

delall C:\autorun.inf
DELALL C:\SSVICHOSST.exe
cmd /c "REG ADD HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Shell /t REG_SZ /d Explorer.exe /f"
cmd /c "REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Yahoo Messengger /f"
restart
[/QUOTE]
Изменено: santy - 11.03.2011 13:09:31 (исправлено!)
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 12:32:31
возможно, отсюда запускается червь
[QUOTE]HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger
<System>\SSVICHOSST.exe

The following registry entry is changed to run SSVICHOSST.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe SSVICHOSST.exe[/QUOTE]
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 12:29:07
зараженную машину необходимо локализовать, отключить из сети, пользоватлей всех предупредите, что активное заражение в сети, чтобы работа была остановлена до излечения всех рабочих станций.
Перейти
[ Закрыто] говорит червь
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2011 12:26:36
исходные файлы червя.

[QUOTE]C:\autorun.inf INF/Autorun вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
11.03.2011 10:15:00 Защита в режиме реального времени файл C:\SSVICHOSST.exe Win32/Sohanad.NAK червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
11.03.2011 10:14:59 Защита в режиме реального времени файл C:\New Folder.exe Win32/Sohanad.NAK червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
[/QUOTE]
http://www.sophos.com/security/analyses/viruses-and-spyware/w32sohanar.html

все ли машины в сети защищены антивирусами с актуальными базами?
Перейти
Пред. 1 ... 1580 1581 1582 1583 1584 1585 1586 1587 1588 1589 1590 ... 1783 След.