Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Снова появляется авторан (http://forum.oszone.net/showthread.php?t=170635)

reckuez 19-03-2010 13:05 1372300
[решено]Снова появляется авторан
 
Вложений: 1
При подключении флешки в комп. на ней появляется скрытая папка Recycler и autorun.inf. И так каждый раз. Файлы приложены

thyrex 19-03-2010 15:01 1372403
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

reckuez 24-03-2010 13:20 1376020
Извините за задержку с ответом.
Не получилось. Заражённый компьютер выполняет ряд прикладных задач, и находится в локалке из 6 компьютеров (без внешних связей). GMER тормозит все эти процессы и нарушается нормальная работа. Только если его поставить «на прикол».
Скажите п-ста, а на основании анализа тех логов, что я Вам выслал, нельзя сделать какие либо выводы?

thyrex 24-03-2010 14:20 1376072
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

reckuez 25-03-2010 18:58 1377111
Спасибо, вопрос решён.

Drongo 25-03-2010 20:11 1377170
reckuez, Каким образом. :) Помогло сканирование утилитами SDFix и ComboFix ? Если да. То прикрепите логи, нам будет интересно взглянуть на них. Если что-то другое помогло - озвучте в теме решение. :)

reckuez 28-03-2010 09:57 1378915
Скажу заранее, что полгода назад причиной необходимости принять какие либо меры – послужило то, что постоянно наблюдалась медленная , или вообще никакая, работа протокола обмена по сети. А так как таймаут контроля работы равен 3 минуты, то компьютер очень часто перезагружался (так построен алгоритм). С помощью утилиты launch.exe сделана проверка и лечение. Вирус был классифицирован как сетевой червь -*kido. Описание я нашёл здесь http://haker.taba.ru/blog/f/Hack/2230_Virus_Kido.html . Между прочим, этот червь оказался опасен более, чем я ожидал. Одна из его модификаций (которая была на этом компе) напрочь вывела из строя в час «Х» несколько терминальных устройств сопряженных с ним. Теперь ближе к делу. Я свои логи, посланные на первом посте не смотрел, но наблюдал процесс работы утилиты AVZ. На сегодняшний день, причиной появления авторана на флешке, как я убедился практически, послужила загружаемая библиотека shpxdt.dll . К сожалению, мне не удалось найти источник её появления, (помощь в этом я рассчитывал получить здесь) и процесс который её активизировал. Тем не менее, она была удалена, и проблема как таковая решена, хотя остаётся чувство неудовлетворённости. Софт, который мне предложили для лечения, я не использовал по нескольким причинам. Это во первых то, что не имею возможности остановить процесс работы (переход в безопасный режим), и то, что не очень доверяю софтам, которые автоматически, без моего разрешения меняют либо конфигурацию, либо ключи в реестре и т.п. А если по ошибке….. , то что? ……………
Но, всё-таки, прихожу к мысли, что этот червяк гуляет по сети. Надо бы решать эту проблему во всей сети, но как это сделаешь, если в сети более 100 машин, и сеть постоянна в работе. Хотелось бы найти что то , что на программном уровне решало эту проблему. А здесь опять, натыкаемся на протокол TCP/IP. Так что, …. Вот такие дела!

thyrex 28-03-2010 16:09 1379109
То, что у Вас Kido, было видно еще после первых логов. Но поскольку AVZ с ним справиться не может, Вам и были рекомендованы сторонние утилиты. Но, увы, Вы пошли другим путем

Читайте http://support.kaspersky.ru/kis2009/error?qid=208636215 и проверяйте сеть


Время: 15:41.

Время: 15:41.
© OSzone.net 2001-