Доброго времени суток!
У нас такая проблема: существует небольшая корпоротивная сетка. На компе админа стоит консоль сетевой версии Avast, на каждой локальной машине стоит агент который управляется с консоли, консоль при обнаружении заразы скидывает на почты сообщение. Недавно у одного из пользователей при загрузке машины появлялись какие то микробы (на почту приходили по 4 сообщения при каждой загрузке компа, и самое интересное локально агент avast вообще не риагировал никак) особого значения не придали пересадили систему и все путем. Вчера еще два пользователя схатили эту же заразу. Взяв один комп на реанимацию, решил обратится к Вам за помощью. По порядку выполнял Ваши правила, после проверки CureIT количество сообщений уменьшилось до 2 и Avast (локально) стал блокировать эту гадась. Вот последние 2 сообщения: 1. avast! [PROIZ1WS]: Файл "E:\WINDOWS\system32\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
2. avast! [PROIZ1WS]: Файл "E:\Documents and Settings\Subadm.KGI198\ftpdll.dll" инфицирован "Win32:Small-JMK [Trj]" вирусом.
Логи прилагаю, надеюсь на Вашу помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\ELBOLCZU\ieupdater[1].exe','');
QuarantineFile('E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe','');
DeleteFile('e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe');
DeleteFile('E:\WINDOWS\system32\winlagons.exe');
DeleteFile('E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\ELBOLCZU\ieupdater[1].exe');
DeleteFile('E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
E:\WINDOWS\system32\winlagons.exe, E:\Documents and Settings\Proiz1.KGI198\Local Settings\Temporary Internet Files\Content.IE5\VVL779OW\ieupdater[1].exe, E:\Documents and Settings\Proiz1.KGI198\ie_updates3r.exe - Trojan-Downloader.Win32.Tiny.aii
e:\documents and settings\subadm.kgi198\local settings\application data\cftmon.exe - Backdoor.Win32.Agent.eom
E:\Documents and Settings\Proiz1.KGI198\Рабочий стол\ieupdr2.exe - Trojan-Downloader.Win32.Tiny.aii
Вроде как микробы, больше не беспокоят...пока))))на этой машине. Спасибо огромное! Теперь следующий вопрос: точно с такой же дрянью есть другая юзерская машина. Как быть, сделать тоже самое или создавать новую тему и выкладывать туда новые логи с другой машины?
Здравствуйте! Вчера извести зловреда извели, но сегодня повторилось тоже самое. С утречка я вернул излеченый комп пользователю, проверил как загрузился, было все в порядке. Ближе к обеду у пользователя возникли кое какие проблемы, мне пришлось зайти на машину со своими правами, и этот микроб снова активировался. Причем пользователь утверждает что в интернете не был вообще, значит зловред прячится где то на машине. Посмотрите новые логи, может все таки что то получится сделать.
e:\\documents and settings\\proiz1.kgi198\\ie_updates3r.exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
e:\\documents and settings\\proiz1.kgi198\\local settings\\temporary internet files\\content.ie5\\elbolczu\\ieupdater[1].exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
e:\\documents and settings\\proiz1.kgi198\\local settings\\temporary internet files\\content.ie5\\vvl779ow\\ieupdater[1].exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
e:\\documents and settings\\proiz1.kgi198\\рабочий стол\\ieupdr2.exe - Trojan-Downloader.Win32.Tiny.aii (DrWEB: Trojan.DownLoader.4801
e:\\documents and settings\\subadm.kgi198\\local settings\\application data\\cftmon.exe - Worm.Win32.Socks.hs (DrWEB: BackDoor.FireOn)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: