[Dump]

После ДВУХ подряд проверок CureIT в безопасном режиме, на третьей проверке вирус перестал обнаруживаться. После перезагрузки в нормальный режим проверил ещё раз всё ОК, включил в сеть....посмотрим после обеда. Похоже, что проблема решена, но пока не буду ставить её таковой. Подождём до завтра

[Pili]

Dump, на virustotal.com файлы
Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll
проверили?
Эксперимент проверли с DrWeb, отлавливаются вирусы, если в общую папку попадают извне?
Скачайте ещё раз AVZ, по предыдущим логам AVZ версии 4.29 База поcледний раз обновлялась 12/12/2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты".
вложите в сообщение virusinfo_syscure.zip из папки AVZ\LOG

[Dump]

Pili, Ок немного попозже выложу, просто у меня в одной папке две разные версии AVZ сидели, перепутал, не ту запустил. На virustotal.com файлы не проверял, забыл домой с работы забрать. Как кстати их безопасно можно отправить, чтобы свой домашний комп не заразить, дома стоит KAV 7.0 обновляется как только сам захочет и-нет постоянно включен. Если я его на флешке принесу "каспер" же убьёт его, если там вирус. Или нам больше ничего и не нужно, кроме того, что они заражены?
Эксперимент с DrWeb ещё не проводил, не могу закрыть шары просто так, в рабочий день. Но агент периодически отлавливает файлы и лечит их, видимо сработает!

[Pili]

Dump, Да, нужно проверить заражены ли файлы, если каспер прибьет, то скрипт напишу по удалению, если не обнаружит, просто закидываете файлы на вирустотал и смотрите рез-т сканирования, домашний комп вряд ли заразите, это же не исполняемые файлы, а вообще, лучше заархивируйте эти файлы с паролем virus и пришлие мне на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него в ПМ (личку).
по поводу флешки, защита от autorun
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Цитата Dump:

Но агент периодически отлавливает файлы и лечит их, видимо сработает! »

Агент сообщает какая раб. станция заражена? Если нет, имеет смысл поставить аудит на создание файлов и выявлять зараженные раб. станции, отключать их от сети и лечить.

[Dump]

Pili, Вот посмотрите Лог от агента, если я правильно понимаю, то Колонка "пользователь" - это тот, кто последний обращался к файлу и получается его заразил. Как видно все обращаются к одному файлу Colvir.exe это программа используемая у нас юзает этот файл. Всего около 200 человек, но как видно в логах заражение происходит именно после того, как 2-3 определённых человека обращаются к нему.

Включить аудит. Вы имеете ввиду аудит Винды?

[Dump]

Цитата Pili:

Dump, на virustotal.com файлы Ati2evxx.dll C:\WINDOWS\system32\DRIVERS\nvmini.sys C:\WINDOWS\system32\DRIVERS\ipinip.sys C:\WINDOWS\system32\LINKINFO.dll »

Хотел забрать эти файлы ....их нет на сервере!

[Pili]

Dump, да, имелся ввиду аудит винды на папку, но видно, что опредить можно по логам агента DrWeb, статистика на высоте

Цитата Dump:

Хотел забрать эти файлы ....их нет на сервере! »

можно поискать через AVZ-сервис-поиск файлов на диске и добавить в карантин. или скриптом

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
 QuarantineFile('Ati2evxx.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

пришлите quarantine.zip
LINKINFO.dll по новым логам нет
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

[Dump]

Цитата Pili:

можно поискать через AVZ-сервис-поиск файлов на диске и добавить в карантин. или скриптом »

Пусто. файлов нет

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys)
Карантин с использованием прямого чтения - ошибка

Вот что сказал AVZ

[Pili]

Dump, вероятно остался только мусор в реестре, пришлите quarantine.zip на user15802[at]mail.ru и сделайте ещё логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения. Если лог не получится, попробуйте ещё раз отключив антивирусные программы и firewall
и сделайте ещё лог virusinfo_syscheck.zip

[Dump]

Pili,
Я не на том сервере логи снимал Сейчас снял, всё нормально вечером вышлю вам файл quarantine.zip

С декарт сканером только завтра смогу логи снять.