Jump to content

Recommended Posts

Сегодня с утра 70 % компов отказались грузатся, постоянно идут в перезагрузку

На диске нашел "подозрительные файлы" типа Marioforever.exe

базы от 25.11.08 - его не определили, только после утреннего обновления вирус стал определятся как

Trojan-Downloader.Win32.Agent.aroi

 

Подскажите как можно восстановить системы ?

В безопасном режиме не грузитя, пока нашел единственный выход - восстановление с компакт диска ОС.

 

Спасибо

 

 

Share this post


Link to post
Сегодня с утра 70 % компов отказались грузатся, постоянно идут в перезагрузку

На диске нашел "подозрительные файлы" типа Marioforever.exe

базы от 25.11.08 - его не определили, только после утреннего обновления вирус стал определятся как

Trojan-Downloader.Win32.Agent.aroi

 

Подскажите как можно восстановить системы ?

В безопасном режиме не грузитя, пока нашел единственный выход - восстановление с компакт диска ОС.

 

Спасибо

Варианта два:

- на чистую машину ставите KIS 2009 (триальную версию) и создаете Диск восстановления. С помощью этого Диска пролечиваете зараженные машины.

или

- к чистой машине подключаете зараженный диск (можно сам винчестер как slave или как сетевой диск) и выполнить "Лечение" (не удаление).

 

Напишите о результате.

Share this post


Link to post

Спасибо за совет, грузился с диска, пробовал лечить, (он, кстати, не лечится и предлагает удалить)

после удаления вируса компы по прежнему не загружаются,

ни в безопасном ни в обычном (как только доходит до того что вот вот появится синий экран рабочего стола, компьютер перезагружается).

Проблема проявляется на 2000 и на ХР (висты в сети нет)

 

Странная ситуация,что на компьютере на котором не был установлен KWS вирусы были, но компьютер загружался.

 

Пока другого варианта как восстановление с СД диска ОС не нашел.. (вирус так же записывается в восстановелие системы у ХР)

 

 

Share this post


Link to post
Спасибо за совет, грузился с диска, пробовал лечить, (он, кстати, не лечится и предлагает удалить)

после удаления вируса компы по прежнему не загружаются,

ни в безопасном ни в обычном (как только доходит до того что вот вот появится синий экран рабочего стола, компьютер перезагружается).

Проблема проявляется на 2000 и на ХР (висты в сети нет)

 

Странная ситуация,что на компьютере на котором не был установлен KWS вирусы были, но компьютер загружался.

 

Пока другого варианта как восстановление с СД диска ОС не нашел.. (вирус так же записывается в восстановелие системы у ХР)

А пример зараженного файла, который не лечится, можете прислать мне в архиве с паролем на faq улитка kaspersky ком (в теме мое имя укажите)?

Проблема в том, что заражается один из системных файлов Windows, который если удалить, то как раз ОС и не грузится.

Посмотрим, почему он не лечится.

Share this post


Link to post
А пример зараженного файла, который не лечится, можете прислать мне в архиве с паролем на faq улитка kaspersky ком (в теме мое имя укажите)?

Проблема в том, что заражается один из системных файлов Windows, который если удалить, то как раз ОС и не грузится.

Посмотрим, почему он не лечится.

 

Короче, господа!!! Грузитесь с ERD Commander и в папку C:\WINDOWS\SYSTEM32 кладете 2 файлика с заведомо чистой машины (или с дистриба) : USER32.DLL и GDI32.DLL . Второй файл вирус не всегда бъет, не нашел закономерность. Первый - 100%. На всякий случай заменяю сразу оба. Перегружаетесь и будет вам счастье - машины работают как и раньше...

 

Проблема одна - не могу выловить источник. Вирус расползся по 700 машинам и поймать его не получается. Антивир его ловит, убивает, и так почти каждй 5 минут... Может есть идеи, как поймать носителя? Отключать сеть - не предлагать, т.к. это критично для бизнеса и никто не позволит...

Share this post


Link to post

Да, кстати, в этой же системной папке C:\WINDOWS\SYSTEM32 возможно есть файлик CLS.EXE - это тоже вирус этот, его смело грохайте... Его быть НЕ ДОЛЖНО вообще

Share this post


Link to post
1. Отберите админские права у всех (если у вас домен - отобрать админские права проще простого через GPO).

2. А потом просто стартаните задачу полной проверки на всех компьютерах, но без лечения.

Первым шагом вы избавитесь от новых заражений, а после второго - получите список зараженных машин.

 

1 - У нас и так пользователи домена имеют права обычных пользователей

2 - Полную проверку проводил одновременно на ВСЕХ компах домена, НО... Видать она лечит на одном, втором, третьем, а на четвертом еще не дошла до вируса и он успел опять расползтись по уже проверенным... И так по кругу... Замечено, что он распространяется не только по расшаренным ресурсам, но и по системным с $. Их закрыть - нереально, службы на них завязаны... Вот и получается проблема... И не решить ее никак, кроме физического изолирования сегментов поочереди... А это БОЛЬШАЯ проблема в сети с 700 компами, расположенными в 12 удаленных объектах, которые и на час-то отключить нельзя... :(

 

По причине такого подарка администраторам сети Лабораторией Касперского встал вопрос о переходе на другой антивирус, который не "дает записать на диск, а потом удаляет зараженный объект", а "сразу тупо не дает записать". Таким способом можно было бы вычислить и изолировать машину-носитель, вылечив все остальные компы поочереди...

Share this post


Link to post

Еще пояснения для всех: В то время как Антивирус для рабочих групп банил вирус на локальных рабочих станциях, Антивирус для Файловых серверов - его просто не видел, т.к. там, видите ли, по-умолчанию не стоит галка - банить подозрительные объекты. Почему то Антивир для рабочих станций считал этот вирус - вирусом, а для серверов - подозрительным объектом. Так упало 4 сервера :( Учтите, перед перезагрузкой проверте наличие в системной папке указанных выше файлов, иначе синий экран!!!

Share this post


Link to post

Страшный вирус в сети обнаружился.

Пишут с филиала, что на 1 компе вирь завёлся. KWS 837 не видит в упор. CUreIt находит, причём очень старый, я пробовал версию от 13 ноября. Вирь поганит все exe, safe mode не работает - синий экран. прислали мне, распространяется в копмлекте с autorun. Послал на newvirus. Параллельно пишу здесь, чтоб побыстрей пропинали - вирь не из гуманных, если серваки положит - повесят всех.

Здесь файл не прикрепляется (((

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.