Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

EXE, DOC, RAR файлы стали размером 0 байт (заявка № 10349)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35

    Exclamation EXE, DOC, RAR файлы стали размером 0 байт

    На сетевой шаре файлы с расширением EXE, DOC, RAR (может еще какие - пока не обнаружил) стали размером 0 байт.
    Яндекс ничего внятного не дал, поиск по форуму тоже.

    Если кто-нибудь слышал о такой беде, подскажите название "беды" и как ее лечить.

    с уважением, goodwin

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Попробовать переименовать avz.exe в avz.cmd и сделать логи.
    Тоже самое сделать с hijackthis.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    ок, понял.

    просканирую avz и hijackthis. логи выложу сюда.

    ---Вложение 11733

    А остальные логи по правилам?
    Последний раз редактировалось Alex_Goodwin; 13.06.2007 в 14:44.

  5. #4
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    avz еще не досканировался.

  6. #5
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    есть предположение, что сканирование компа, на котором этот ресурс расшарен ничего не даст...
    причем у этих нулевых файлов последнее время модификации от 11-23 до 12-02 сегодня.

    Как обнаружить проблему в большой сети?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    avz еще не досканировался.
    Хм, вообще-то полагается по порядку делать, т.е. лог HijackThis должен быть сделан последним.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    Хорошо, тогда все по регламенту. вот файлы логов.
    Сам я в них ничего не нашел опасного. Может не так смотрю...

    все-таки думается, что не этот компьютер нагадил так, хоть шара и его.
    Доступ имели к этой шаре многие компы... все нереально в короткие сроки просканировать
    Последний раз редактировалось drongo; 13.06.2007 в 18:10. Причина: Логи AVZ должны быть по правилам,или вообще не быть ;)

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Хорошо, тогда все по регламенту. вот файлы логов.
    Сэр, вы правила по диагонали читали?
    О создании необходимых логов AVZ см. п.8 и далее.
    I am not young enough to know everything...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Зверь уже виден, если это не Server 2003.
    C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe
    Логи нужны для кооректного его удаления.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от xgoodwin Посмотреть сообщение
    есть предположение, что сканирование компа, на котором этот ресурс расшарен ничего не даст...
    Скорее всего.

    Цитата Сообщение от xgoodwin Посмотреть сообщение
    Как обнаружить проблему в большой сети?
    Доступ в эту сеть анонимный или авторизованный? Можно попробовать выложить на расшаренный ресурс приманки и включить аудит обращения к ним. Необходимо, чтобы файловая система была NTFS, насколько я в этом понимаю. Может, Filemon какую-то наводку даст. Есть ещё журнал безопасности, куда, по идее может писаться информация о доступе к машине из сети. Правда, по умолчанию в него ничего не пишется

    Цитата Сообщение от PavelA Посмотреть сообщение
    Зверь уже виден, если это не Server 2003.
    C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe
    Логи нужны для кооректного его удаления.
    Windows 2000 SP4
    Только в логе AVZ ещё серия похожих путей. И обратите внимание - WINDOWS, а не WINNT, где система на самом деле стоит.
    Это терминальный сервер?

  12. #11
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    спасибо, pig, за подробный ответ.

    Цитата Сообщение от pig Посмотреть сообщение
    Скорее всего.


    Доступ в эту сеть анонимный или авторизованный? Можно попробовать выложить на расшаренный ресурс приманки и включить аудит обращения к ним. Необходимо, чтобы файловая система была NTFS, насколько я в этом понимаю. Может, Filemon какую-то наводку даст. Есть ещё журнал безопасности, куда, по идее может писаться информация о доступе к машине из сети. Правда, по умолчанию в него ничего не пишется


    Windows 2000 SP4
    Только в логе AVZ ещё серия похожих путей. И обратите внимание - WINDOWS, а не WINNT, где система на самом деле стоит.
    Это терминальный сервер?
    Ловлю на живца уже начали, восстановили exe-файлы из бэкапов, правда неизвестно какой давности.
    сканирование avz пока не закончилось...

    к тому же, эта машина файл-сервер и терминальный сервер.

  13. #12
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    вот логи avz и HijackThis

  14. #13
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    есть какие нибудь варианты?

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Давайте попробуем такой скрипт:
    Код:
    begin
     BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\System32\updcrl.exe');
     BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\System32\ie4uinit.exe');
     BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe');
     BC_QrFile('c:\winnt\temp\aeff5b.exe');
     BC_QrFile('c:\winnt\System32\updcrl.exe');
     BC_QrFile('c:\winnt\System32\ie4uinit.exe');
     BC_QrFile('c:\winnt\system32\smss.exe');
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
    Последний раз редактировалось drongo; 14.06.2007 в 12:27.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    нашел описание вируса в инете, по дходящий к ситуации. 100% что это он пока нет.

    W32/Holar.d@MM
    http://vil.nai.com/vil/content/v_100168.htm

  17. #16
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    Цитата Сообщение от Bratez Посмотреть сообщение
    Давайте попробуем такой скрипт:

    ....

    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
    хм.. проблема в том, что это файл-сервер организации и ребутнуть его днем никак не получится.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    http://www.symantec.com/security_res...624-99&tabid=2
    - от Симантека описание. кстати, пишется что Касперский его тоже знает. Нужно искать машину с похожими симптомами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    проблема в том, что это файл-сервер организации и ребутнуть его днем никак не получится.
    Можно сделать такой "финт ушами": уберите из скрипта строчку RebootWindows(true); и выполните его, потом запланируйте перезагрузку с помощью TaskSheduler'a или команды at на ночное время. Утром заберете карантин и лог
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    35
    что то не так в скрипте...
    выдает ошибку:
    Too many actual parameters в позиции 5:11

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от xgoodwin Посмотреть сообщение
    что то не так в скрипте...
    выдает ошибку:
    Too many actual parameters в позиции 5:11
    извиняемся, поправил

  • Уважаемый(ая) xgoodwin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Файлы стали с расширением CRYPTOBLOCK
      От Kortes_sv в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.04.2012, 18:35
    2. Файлы стали зашифрованы в EnCrYpTeD
      От vladrti в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.04.2011, 01:04
    3. Ответов: 7
      Последнее сообщение: 07.05.2010, 01:30
    4. Ответов: 1
      Последнее сообщение: 07.01.2010, 21:19
    5. Все exe файлы стали вирусами
      От master lyan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.08.2009, 13:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00476 seconds with 22 queries