Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Win32.Epiro.CG|Win32.Expiro.nt (http://forum.oszone.net/showthread.php?t=326844)

Voxell 17-05-2017 18:03 2737576
Win32.Epiro.CG|Win32.Expiro.nt
 
Вложений: 1
В заголовке темы указаны два имени одного и того же вируса.
Первое дает ESET, а второй - Касперский.
И так:
Имеется Winserver 2008+1C-SQL
ESET такие вещи убирать правильно не умеет, только детектит само заражение здорового приложения.
То же самое почти делает с вирусом и Касперский, только еще и лечит заражение приложения.
Самое основное от чего идет заражение (голова вируса) - не находят и не удаляют.
И да я знаю, что это файловик, и что надо брать лайвы, но ни Касперского лайв, и Др.Вэба лайв мне не помогли.
Версии брал самые крайние.
Да, и сканера мне от Касперского и Вэба тоже не помогли.
Сканировал из системы WinPE. - бестолку все!
AVZ - отмалчивается совсем.
UVS - вообще сказал что может снесть почти весь SQL к чертям
К одному выходу я дошел, и в круговую сканирую Касперским Endpoint Security 10, и на 4-м круге - 0!
Но стоит дать постоять в простое серверу, и потом снова запустить скан - опять штук с десять налечит, и программки все запустятся.
Но это лишь на время.
Да, я знаю что вирь сидит в памяти. Я в курсе:)
Мне об этом сказал сканер (утилита) AVG_Remover_Expiro с сайта разрабов.
Но, он предложил предстартовую проверку и ничего там потом в процессе не нашел и не удалил.
Malicious Software Removal Tool - слепой как котенок.
Malwarebytes Anti-malware - не справился.
Гугл читал, яндекс читал. Решения не нашел.
Сносить систему не могу по очень веским причинам.
Лог прикрепляю.
П.С.: Логгера с авз и рситов вирь жрал разов пять, но каспер их излечивал системно и методично)



Что-то подскажете?
Спасибо

shestale 18-05-2017 09:15 2737706
http://www.cyberforum.ru/viruses/thread1983612.html - эту тему закрыл.
Наша рекомендация при файловом заражении:
1. Обязательно на НЕ зараженном ПК скачайте образ Kaspersky Rescue Disk, и на том же, не зараженном ПК запишите загрузочный диск.
Пролечите свою систему с подключенными съемными накопителями, если останется хоть один зараженный файл - проблема не решится.
2. После лечения подготовьте новый CollectionLog.

Voxell 18-05-2017 15:26 2737835
Вложений: 1
Цитата:
Цитата shestale
После лечения подготовьте новый CollectionLog »
Пролечился в два прохода.

shestale 18-05-2017 17:08 2737854
Цитата:
Цитата Voxell
Пролечился в два прохода. »
Пролечились именно как написано выше в п.1?
К серверу другие компьютеры по сети подключены?

Voxell 18-05-2017 18:07 2737865
Цитата:
Цитата shestale
К серверу другие компьютеры по сети подключены? »
носители подключал,
Интернет отсоединял физически., кроме случаев, когда надо подгружать базы.

shestale 18-05-2017 18:17 2737871
Цитата:
Цитата shestale
Пролечились именно как написано выше в п.1? »
Не ответили...
Цитата:
Цитата Voxell
носители подключал, »
А вы уверены что они чистые?

Voxell 18-05-2017 18:29 2737872
Цитата:
Цитата shestale
А вы уверены что они чистые? »
Проверка выполнялась как съемных дисков, так и несъемных, то есть полностью
Съемные носители после проверки изъяты и извлечены из обесточенного оборудования.
Ку да уж точнее?
Файлы заражаются при вкл. WIN.
А перед этим при проверке Касперский с лайва после сканирования гордо отрепортил что по нулям...
Ну хорошо, грузим ось, загружаемся, и тут же перегружаемся и снова в лайв на проверку...
опять находим...
опять лечимся....

regist 18-05-2017 18:59 2737876
Здравствуйте!

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ClearQuarantineEx(true);
 QuarantineFile('c:\program files (x86)\1cv82\8.2.19.83\bin\ragent.exe', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services\ReportServer\bin\ReportingServicesService.exe', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe', '');
 QuarantineFile('C:\Program Files\Adaptec\Adaptec Storage Manager\StorServ.exe', '');
 QuarantineFile('C:\Windows\system32\dllhost.exe', '');
 QuarantineFile('C:\Windows\System32\msdtc.exe', '');
 QuarantineFile('C:\Windows\System32\taskmgr.exe', '');
 QuarantineFile('c:\windows\syswow64\werfault.exe', '');
 QuarantineFile('C:\Windows\System32\wbem\WMIADAP.exe', '');
 QuarantineFile('C:\Windows\System32\msdtc.exe', '');
 QuarantineFile('C:\Windows\System32\snmp.exe', '');
 QuarantineFile('C:\Windows\system32\SLsvc.exe', '');
 QuarantineFile('C:\Windows\System32\msdtc.exe', '');
 QuarantineFile('C:\Windows\system32\RSoPProv.exe', '');
 QuarantineFile('C:\Windows\System32\snmp.exe', '');
 QuarantineFile('C:\Windows\System32\vds.exe', '');
 QuarantineFile('C:\Program Files\1cv82\8.2.19.83\bin\ragent.exe', '');
 QuarantineFile('C:\Program Files\Adaptec\Adaptec Storage Manager\archwprv.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE', '');
 QuarantineFile('C:\Windows\SysWow64\perfhost.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe', '');
 QuarantineFile('C:\Windows\System32\winlogon.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
после выполнения скрипта компьютер перезагрузится.


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Voxell 18-05-2017 19:56 2737879
Цитата:
Цитата regist
1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »
выполнено.

Цитата:
Цитата regist
2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): »
выполнено.

regist 18-05-2017 20:44 2737885
Ожидайте.

regist 22-05-2017 19:14 2738736
Не думайте, про вас не забыли. Просто выходные все отдыхали. Ещё немного подождите.

regist 25-05-2017 13:32 2739511
Пролечитесь заново записав на болванку свежий KRD.
Отпишитесь потом о результате.


Время: 05:18.

Время: 05:18.
© OSzone.net 2001-