Доброго времени суток.

Появилась в сети зараза аж 99 года.
http://www.symantec.com/security_response/writeup.jsp?docid=2001-062614-1754-99

Symantec antivirus corporate edition 10 убить его не может.
Зараза плодит на шаре файлики с именами а-ля pornoxxx.exe, winamp.exe, winrar.exe и т.п.
После удаление он создаеться вновь и так до бесконечности.
Востановление системы отключено, автозапуск с флешек запрещен.
Все пользователи включая администраторов работают под учетками users.
avz, hijackthis его не видят. cureit кладет систему в bsod.

если все же логи нужны - выложу.

если все же логи нужны - выложу. »Нужны, выкладывайте, но сначала обновите базы в AVZ.

вот логи

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat','');
QuarantineFile('c:\scripts\dumpsql.bat','');
QuarantineFile('c:\scripts\move_from_dc_to_sdc.bat','');
DeleteFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat');
DeleteFile('c:\scripts\dumpsql.bat');
DeleteFile('c:\scripts\move_from_dc_to_sdc.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

2
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).


3
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

DeleteFile('c:\scripts\dumpsql.bat'); DeleteFile('c:\scripts\move_from_dc_to_sdc.bat'); »
это мои скрипты
а остальное попробую в понедельник.
спасибо.

это мои скрипты
а остальное попробую в понедельник. »
без проблем - исключите их из скрипта

iskander-k,
ктстати, первый пункт, это то что осталось от распаковки avptool
Malwarebytes Anti-Malware нашел один инфицированный объект.

чуть позже скину его результаты и результаты gmer'a

avz чуть позже, так как машинку скрипт перезагрузит.
и кстати, на сколько этот скрипт безопасен? так как этот комп - это контроллер домена

логи hijackthis и mbam

и кстати, на сколько этот скрипт безопасен? »
так как вы исключите ваши скрипты , то остается от avptool - больше ничего скрипт не сделает.
логи hijackthis и mbam »
Ничего -активного заражения не вижу.


Скачайте DDS (http://download.bleepingcomputer.com/sUBs/dds.scr) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=7&act=down) и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Как подготовить логи DDS.SCR (http://virusnet.info/forum/showthread.php?t=11027)

iskander-k,
В том то и дело. а вирус есть и постоянно плодиться на шаре((

+

•Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

пожайлуста

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\tykmjv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\tykmjv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

P.S.И похоже зараза с клиентской машины лезет. Я так считаю.

P.S.И похоже зараза с клиентской машины лезет. Я так считаю. »

Это не исключено. Я бы сказал, что так оно и есть.
Вот только вопрос, как эту заразу теперь вычистить? Следую рецептам симантека, не хрена не получаеться, а мне как на зло до НГ с этим надо разобраться.

щас результат AVZ выложу

Вот только вопрос, как эту заразу теперь вычистить? »
Это надо зараженную машину лечить.