Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] говорит червь
[QUOTE]Игорь Лобзиков пишет:

можно немного детальней[/QUOTE]

при старте uVS есть возможность подключиться к удаленной машине по IP адресу, необходимо указать IP, выбрать текущего поьзователя (если вы являетесь администратором на удаленной машине)
и выполнить указанный скрипт,
(обратите внимание, что я внес исправление)
[ Закрыто] говорит червь
возможно, такой скрипт поможет вычистить червя на удаленной машине из автозапуска.

[QUOTE];uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

delall C:\autorun.inf
DELALL C:\SSVICHOSST.exe
cmd /c "REG ADD HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Shell /t REG_SZ /d Explorer.exe /f"
cmd /c "REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Yahoo Messengger /f"
restart
[/QUOTE]
Изменено: santy - 11.03.2011 13:09:31 (исправлено!)
[ Закрыто] говорит червь
возможно, отсюда запускается червь
[QUOTE]HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger
<System>\SSVICHOSST.exe

The following registry entry is changed to run SSVICHOSST.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe SSVICHOSST.exe[/QUOTE]
[ Закрыто] говорит червь
зараженную машину необходимо локализовать, отключить из сети, пользоватлей всех предупредите, что активное заражение в сети, чтобы работа была остановлена до излечения всех рабочих станций.
[ Закрыто] говорит червь
исходные файлы червя.

[QUOTE]C:\autorun.inf INF/Autorun вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
11.03.2011 10:15:00 Защита в режиме реального времени файл C:\SSVICHOSST.exe Win32/Sohanad.NAK червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
11.03.2011 10:14:59 Защита в режиме реального времени файл C:\New Folder.exe Win32/Sohanad.NAK червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
[/QUOTE]
http://www.sophos.com/security/analyses/viruses-and-spyware/w32sohanar.html

все ли машины в сети защищены антивирусами с актуальными базами?
[ Закрыто] говорит червь
отключайте расшаренные ресурсы на всех машинах,
возможно, у вас полный доступ открыт на диски C без пароля. если Нод убивает этого червя, то следует выявить комп - источник заражения, отключить от сети, все остальные машины с актуальной защитов (возможно) справятся с удалением червя.
[ Закрыто] говорит червь
необходимо отключить расшаренные ресурсы для предотвращения распространения червя в сети
---
возможно заражение идет с других машин, судя по этим логам - ЭТО чистая машина.
Изменено: santy - 11.03.2011 12:13:58
[ Закрыто] говорит червь
сделайте дополнительно лог журнала обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Закрыто] говорит червь
сделайте дополнительно образ автозапуска с помощью uVS
http://forum.esetnod32.ru/forum9/topic683/
Изменено: santy - 11.03.2011 11:37:56
Предложение по улучшению форума
[QUOTE]Валерий пишет:
Что у вас с поиском? Нажимаешь на тему найденную через ваш поиск и открывается главная страница форума. Вроде должна открываться сама тема, как вы думаете.[/QUOTE]
есть такое. ссылка на найденные темы не работает, перебрасывает на главную страницу форума.