Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 21.05.2009, 10:52   #1 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
По умолчанию вирус блокирует локалку

В общем работаю в небольшой компании 30-40 компьютеров, компы начали перезагружаться как от червя w32.Blaster.worm, пропала сеть, но антивирусы не чего не находили... при загрузке компа в процессах появлялась куча процессов ftp.exe и он уходил в перезагрузку. Заразились компы только с первым и третьим сервис паком, переустанавливать нет возможности так как там много запаролиных БД, 1с и всё такое.
Появлялись файлы и процесс и служба regv я удалил его..вроде всё работает, не перезагружается, только вот сетки нет..с них выход есть а на них ни как не зайдёшь... не пойму в чём дело..может что-то осталось?
Moriarti вне форума  
Старый 21.05.2009, 11:37   #2 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moriarti, На парочке проблемных машин выполните это http://pchelpforum.ru/f26/t6442/#post37758
01pump вне форума  
Старый 21.05.2009, 12:30   #3 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
Exclamation

http://exfile.ru/42018 hijackthis.log
http://exfile.ru/42020 virusinfo_syscheck.zip

Moriarti вне форума  
Старый 21.05.2009, 12:34   #4 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moriarti, где virusinfo_syscure? вы выложили virusinfo_cure
01pump вне форума  
Старый 21.05.2009, 12:45   #5 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
По умолчанию

на некоторых машинах при выполнении третьего скрипта компы уходят в ребут... по этому тут два лога
http://exfile.ru/42024 hijackthis.log
http://exfile.ru/42025 virusinfo_syscheck.zip

---------- Добавлено в 10:46 ---------- Предыдущее сообщение было написано в 10:45 ----------

Цитата:
Сообщение от 01pump Посмотреть сообщение
Moriarti, где virusinfo_syscure? вы выложили virusinfo_cure
http://exfile.ru/42026 virusinfo_syscure.zip извиняюсь, напутал
Moriarti вне форума  
Старый 21.05.2009, 13:03   #6 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moriarti, по самому первому логу http://exfile.ru/42020 virusinfo_syscheck.zip

На сайте http://www.virustotal.com/ru/ проверьте файл C:\WINDOWS\system32\drivers\cmuda.sys если появится сообщение что такой файл проверялся то все равно повторно проверьте. Результат сообщите.
01pump вне форума  
Старый 21.05.2009, 13:27   #7 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
По умолчанию

MD5: 883f93de120956cb25fd69d1636b5530
First received: -
Дата: 2009.04.30 04:12:42 (CET) [>21D]
Результаты: 0/40
Permalink: analisis/d718ebb377ac503eeb82120a62bf089d
Moriarti вне форума  
Старый 21.05.2009, 13:36   #8 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Цитата:
Сообщение от Moriarti Посмотреть сообщение
на некоторых машинах при выполнении третьего скрипта компы уходят в ребут... по этому тут два лога
http://exfile.ru/42024 hijackthis.log
http://exfile.ru/42025 virusinfo_syscheck.zip
По этой машине: Версия Windows: 5.1.2600, Service Pack 1 Не пробовали до SP3 обновить?

В avz:Файл-Мастер поиска и устранения проблем-Системные проблемы-Степень опасности(ВСЕ)-запустить. Откроется перечень, в нем отметить следующие:
>> Нарушение ассоциации SCR файлов
>> Нарушение ассоциации REG файлов
И исправить их.
Затем выполнить:Файл-Выполнить скрипт- в открывшееся окно вставить следующий текст:
Код:
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
 DelAutorunByFileName('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe');
 DelAutorunByFileName('C:\WINDOWS\winlogon.exe');
 DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
 DelCLSID('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
RebootWindows(true);
end.
Затем нажать "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

Если на некоторых машинах при скрипте №3 машины уходят в ребут значит выполняйте скрипт №3 в безопасном режиме.
01pump вне форума  
Ads
Старый 21.05.2009, 14:12   #9 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
По умолчанию


у меня только вот эти варианты, скрипт выполнил, сети нет..блин..не знаю что делать
Moriarti вне форума  
Старый 21.05.2009, 14:19   #10 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Цитата:
Сообщение от Moriarti Посмотреть сообщение
у меня только вот эти варианты, скрипт выполнил, сети нет..блин..не знаю что делать
Надеюсь машины не перепутали? Это точно от машины с SP1? Не могли перепутать с машиной с SP3 ? Как проверяете наличие сети на этой машине?

Вообще ваша сеть с серваком? Опишите детально структуру.
01pump вне форума  
Старый 21.05.2009, 14:39   #11 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
По умолчанию

01pump блин, точно машины перепутал..всё выполнил
ну сеть пингую, отвечает, плюс стоит сетевая аська, она тоже в оба конца работает, а вот через сетевое окружение на них не заходит, а с них заходит

---------- Добавлено в 12:40 ---------- Предыдущее сообщение было написано в 12:39 ----------

пишет что нет доступа когда пытаешься на них зайти
Moriarti вне форума  
Старый 21.05.2009, 14:44   #12 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Цитата:
Сообщение от Moriarti Посмотреть сообщение
01pump блин, точно машины перепутал..всё выполнил
ну сеть пингую, отвечает, плюс стоит сетевая аська, она тоже в оба конца работает, а вот через сетевое окружение на них не заходит, а с них заходит

---------- Добавлено в 12:40 ---------- Предыдущее сообщение было написано в 12:39 ----------

пишет что нет доступа когда пытаешься на них зайти
Ну и в чем тогда вирусня виновата?
Проверяйте встроенные файерволы и что там со службами доступа сетей на сетевом интерфейсе ''Служба доступа к файлам и принтерам сетей Microsoft''
01pump вне форума  
Старый 21.05.2009, 14:46   #13 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
По умолчанию

в том то и дело что нет там встроеных фаирволов, и сети нет только на тех компах на которых был процесс Regv
Moriarti вне форума  
Старый 21.05.2009, 14:48   #14 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moriarti, ''Служба доступа к файлам и принтерам сетей Microsoft'' это проверьте
01pump вне форума  
Старый 21.05.2009, 15:44   #15 (ссылка)
Новичок
 
Регистрация: 21.05.2009
Сообщений: 9
Репутация: 0
По умолчанию

Не нашел такой службы О_о
Moriarti вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вирус под названием System Security Antivirus блокирует рабочий стол aleksandr pisarev Windows 7 14 26.12.2010 21:14
Как настроить локалку в 7? Владимир130183 Windows 7 3 20.08.2010 11:36
Вирус блокирует выход в интернет Azazel Безопасность 14 19.08.2010 16:39
вирус блокирует вход в систему Leonida Безопасность 4 11.08.2010 21:34
Вирус блокирует браузеры и инет Grom Безопасность 10 25.04.2010 22:18
Раздать Интернет в локалку Serj324 Интернет и сети 1 14.03.2010 01:59
Вирус блокирует интернет соединение, предоставляю лог AVZ BAC9I Безопасность 14 02.02.2010 00:35
Помогите настроить локалку Ромец!!! Железо 5 25.01.2010 11:11
Вирус (похоже руткит) блокирует доступ в Инет kirilld82 Безопасность 4 20.12.2009 13:57
Если создаю локалку, отключается инет. S-kimo Интернет и сети 1 26.09.2009 19:42
вирус блокирует комп Гордиенко Windows XP 15 10.09.2009 13:54
Как создать локалку? shmatkoo Железо 7 14.02.2009 22:36


Текущее время: 16:19. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.