GeWhite

Jak na razie uruchomiłem SpyHunter, aby usunąć zagrożenie. Co robić dalej? Zaatakowany Microsoft Server 2016 z domeną.

Środowisko: Sieć lokalna małej firmy. 10 stanowisk Windows XP + 10 terminali Windows 2000 + serwer Windows 2003 pracujacy tylko jako serwer plików i drukarek. Całość podłączona do świata przez router. Usługa serwera plików zrobiona jako udostępnienie jednego z folderów dysku systemowego jako dysk sieciowy s: Wszyscy maja do niego dostęp poprzez wspólne hasło sieciowe. Na wszystkich stanowiskach zainstalowany Avast Pro ver. 4.8. Serwer bez osłony antywirusowej. Raz dziennie robiony jest zrzut bazy na pendrive. Pierwsze objawy. Na stanowisku XP pojawił się komunikat o wirusie i propozycja zakupienia programu aby go wyleczyć - typowy fake. To stanowisko jest najbardziej zagrożone, bo odbiera główną pocztę do firmy. W tym samym dniu na stanowisku terminalowym ostrzeżenia od Avasta o robalu AutoRun-gen2. Następnie na kilku stanowiskach ostrzeżenia Avasta o trojanach - głownie Win32:Kryptik.Trułem czym się dało: Skaner Avast, MKS skaner online, Anti-Malware, ale ciągle coś zostaje. Konkretnie plik igfxpx32.exe - nie potrafię pozbyć się go na dobre. Sformatowałem zarażony autorun.inf pendrive i zaszczepiłem + DisableAutorun. Usunąłem autorun.inf z dysku sieciowego. Wybrałem przykładowy terminal. W załączniku "Osłona rezydentna_luty" historia alertów. Przed Gmerem i OTL odnowiłem SaveBootWin2000, wyczyściłem temporary z przeglądarki internetowej + TFC. Zrobiłem skan Avastem - zał. aswBoot.txt i Anti-Malware - zał. mbam-log Następne trzy załączniki oczywiste. Proszę o analizę. Ze względu na fakt, że zagrożenie pojawiło się w działającej sieci, ewentualną pomoc proszę zaopatrzyć także w podpowiedzi jak wykonywać trucie. W trybie zwykłym czy awaryjnym? W sieci czy w offline? Osłona rezydentna_luty.txt aswBoot.txt mbam-log-2011-02-22 (13-15-53).txt OTL.Txt Extras.Txt rap_gmer.txt