Поражен контроллер домена + перехваты неизвестными rdp-сессий при работе на сервере по rdp.
Запущено 2 файла из ненормальных путей (видны во вложении 2015-01-09_1.png) - причем это заражение повторяется уже второй раз.
Когда было в 1ый раз - тоже с помощью AVZ увидел sys-файлы в ядре, проверил и CureIT! и AVPTool, никто из них ничего не нашел, при этом на диске самих тел файлов ТОЖЕ НЕ было, а после перезагрузки и процессы в памяти исчезли.
К сожалению дампы из памяти САМИХ этих 2х ПРОЦЕССОВ - AVZ сделать почему-то не может. Другие, рядом с ними, - делает, а именно ЭТИ 2 - категорически НЕ может!!!
Прошло 2 месяца - и сегодня обнаруживаю, что история повторяется. Требуемые файлы посредством AVZ и HiJackThis собрал, перегрузить не могу - т.к. пропадут процессы.
Снял с помощью Imager_Lite 3.1.1 дамп оперативки в файл - на всякий случай, чтобы в этот раз этих гадов уже не упустить!
Последний раз редактировалось KonorgVarvarG; 09.01.2015 в 16:32.
Причина: Добавлен результат проверки карантина
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) KonorgVarvarG, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: