Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

SBS 2008 R2 + stacja Win 7 - Odwirusowanie profilu użytkownika psuje stację?

Sasni 14 Gru 2015 09:24 660 3
  • #1 14 Gru 2015 09:24
    Sasni
    Poziom 20  

    Witam,
    zacząłem obsługiwać firmę, w której jeden z użytkowników (jak się okazało posiadający prawa instalacji wszystkiego...) padł ofiarą CryptoWalla. Oczywiście wszystkie pliki zaszyfrowane a przy okazji wszystko co było udostępnione po sieci, zasoby publiczne - te a serwerze też :( Wirus rozprzestrzenił się także na jednostkę, przy której pracował użytkownik.
    Antywirus to Avira - przepuścił zagrożenie (zainfekowany załącznik) - natomiast teraz jak się skanuje kompa, to niby znajduje coś z nazwą "Crypto..."

    Chcąc usunąć zagrożenie użyłem MBAM (do tej pory nigdy i nigdzie nie zdołał "zepsuć Windowsa", a używałem go głównie dla zwykłych klientów - bez AD i serwera). Tym razem jednak po wykonaniu skanowania MBAMem nawet nie kliknąwszy w przycisk "usuń zagrożenia" komputer wylogował się i zaczął ponownie uruchamiać.

    Problem w tym, że Windows już nie wstaje, tylko podczas uruchamiania się restartuje i tak w kółko.
    Standardowe próby naprawy nie przyniosły skutku: CHKDSK, Automatyczna naprawa z płyty, Narzędzie do automatycznej naprawy podczas uruchamiania.
    Odtworzenie z obrazu tegoż systemu pomaga, ale nie rozwiązuje problemu zawirusowanego profilu usera.

    Serwer stoi na SBS 2008 R2
    Stacja Windows 7 x64 PRO

    Może znajdą się jakieś pomysły jak to odwirować bezinwazyjnie? Czy Avirę zmieniać na coś innego?

    0 3
  • #3 15 Gru 2015 16:49
    Sasni
    Poziom 20  

    Witam, przepraszam, za tak długi czas na odpowiedź, ale mogę się łączyć z komputerem użytkownika, gdy ten nie pracuje.

    W załączniku przesyłam raporty.

    Z tego co pamiętam, Avira znalazła jakieś wirusy w plikach tego typu (jakby podszywające się pod poprawki do Windowsa) np:

    C:\Users\[user]\AppData\Local\Temp\KB13444634.exe
    C:\Users\[user]\AppData\Local\Temp\KB14646403.exe

    Jednak jeszcze ich nie usunąłem.

    0
  • #4 03 Sty 2016 21:40
    Sasni
    Poziom 20  

    Problemem okazał się zainfekowany plik csrss.exe.

    0