14 ответов в этой теме

[Jeka]

Доброго времени суток.

Вирус заражает единственный компьютер с расшареной папкой файлообмена. Первая проблема заключается в том, что после ручного удаления он все равно приходит. (почистил реестр, программ файлс, сервис убил). Где бы найти от него заплатку? 

А вторая - когда Др. Веб его находит, несмотря на мои настройки - не спрашивать, а удалять сразу, он выводит на экран окно с вопросом "Удалить или проигнорировать". Из-за этого приходится каждый день бегать в серверную. И пока не удалилишь его весь файлообменник блочится. Гугление на тему заплаток от этого вируса ни к чему не привело.. мб плохо гуглил. 

Вычитал, что этот скрипт безвредный, якобы от авторанов. Но на самом деле он вредный, мешает нормально жить. Настройки консоли все облазил, поставил удалять либо перемещать разные типы вирусной активности, не подтверджать действия, почему он спрашивает постоянно?

Сообщение было изменено Jeka: 21 Декабрь 2010 - 01:47

[Borka]

Вы бы хоть намекнули, как Доктор называет этот вирус...

[Jeka]

Tool.Autorun.4

Почитал ещё странички, посвященные скрипту. Отключил автозапуск всех носителей. Давно надо было сделать. Подожду ещё одни сутки, если перестанет заражать, значит проблема решена.

[pig]

Tool, вообще-то, по умолчанию игнорируется.

[Jeka]

Может быть он и блокирует весь файлообменник из -за того, что я поставил "Удалять"? Он не безобидный, некоторое время из-за него не открывался сетевой диск на клиентском компьютере "Файлообменник". Сама шара открывается по IP, а сетевой диск нет.
И др веб говорит именно о вирусе usb.wsf, вирус есть вирус. Так значит мне стоит вернуть "программы взлома" (а именно так он и определяет его) к "Игнорировать"?

[Borka]

Давайте посмотрим логи.

[Jeka]

Опять выскочил. Хм, отключение автозапуска не помогло) Значит дело не в этом.
Лог агента:

Прикрепленные файлы:

•  drwlogs_20101222085921281.zip   6,67Мб   23 Скачано раз

[Borka]

В логе:
22-12-2010 08:45:05 [CL] (PID = 0004) D:\Файлообменник\autorun.inf - Ok
22-12-2010 08:45:05 [CL] (PID = 0004) D:\Файлообменник\usb.wsf - является программой взлома Tool.Autorun.4
22-12-2010 08:59:04 [CL] (PID = 0004) D:\Файлообменник\usb.wsf - удален

Судя по PID = 0004, это впингвинивается по сети, а не садится локально. Судя по наличию autorun.inf, у кого-то этот каталог замаплен как диск.
В настройках
ActionHacktools = Report
ActionIfReportFailed = Delete
То есть, сообщить, а не удалить. А вот если сообщить не удалось, то файл удаляется. Где в настройках

не спрашивать, а удалять сразу,

я не вижу. Если хотите автоматического действия, то выберите нужное: ActionHacktools = Delete/Move/Rename. Точнее, настройте для "программ взлома".

[Jeka]

Спасибо. Хм. Помню прошелся по гуардам и указал. Проверю ещё раз. Правда, сегодня решил перейти на 6.00. Вот и настрою заново, если настройки собьются.

[HHH]

Правда, сегодня решил перейти на 6.00. Вот и настрою заново, если настройки собьются.

Собьются.

[Jeka]

Установщик требует SP1 для 2003 го сервера. Скачал - ругается на ключ. Вернул на 5.00. Настроил точно удалять все программы взлома, и на клиентах и на сервере. Завтра посмотрю реакцию. СП1 ещё буду искать и пробовать установить, если встанет -установлю новый сервер др веб. Все же обновления приносят пользу.

[pig]

Зачем искать SP1, когда на дворе уже третий год SP2? Это называется все заплатки стоят - мне нравится такой подход, учитывая, что даже SP1 уже пару лет как не поддерживается заплатками.

[userr]

Установщик требует SP1 для 2003 го сервера. Скачал - ругается на ключ.

что скачали и кто ругается?

[basid]

что скачали

Сервиспак, вестимо.

и кто ругается?

"Неудачный" серийник винды, надо полагать.

[Jeka]

Ура, сам удалился. )))
Да, хотел поставить сервис пак первый, который просил установщик доктор веб 6.00. 5й не просит. Но он не подошел, из-за ключа. Эту машину поднимал не я, а бывший админ. Буду переустанавливать, возьму сразу со вторым паком диск.