Здравствуйте.
Поймал на сеть вот такую заразу.
Появляется в папках общего доступа с правами для всех открытыми. Под создателем числятся разные учетные записи.
Классификация дана от Dr Web.
Помогите, пожалуйста, найти зараженную машину...не знаю от куда плодится, по-этому логи и не отправил...
Вирус создает файлы c названиями khs и ykzcsb.exe. Первый видимо помечает, есть ли вирус в папке, ка метка используется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Это практически все равно, что сказать "пойди туда, не знаю куда, найди то, не знаю что"! Мы же ничего не знаем о вашей сети. Если это всего несколько машин - не поленитесь, сделайте логи на всех (каждому - своя тема). Найдем и вылечим. Если же их много, придется вам заняться разграничением прав доступа к вашим папкам, а также пропагандой "правильных" антивирусов среди пользователей сети .
Добавлено через 43 секунды
P.S. Кстати, логи со своего ПК тоже сделайте.
Последний раз редактировалось Bratez; 28.01.2009 в 11:26.
Причина: Добавлено
Да я сам написал и понимал, что абстракцию какую то пишу...В сети 40 машин...а я ленивый=)
могу выслать сам вирусняк(точнее корни его, которые по сети летают)=)
Антивирус я б давно выкинул, симантек у нас корпоративный и лицензионный...
а отправить им файл вируса не могу, не нашел такую функцию у них..
Просто не могу даже представить как пойду по всем пользователям и буду сносить лицензионный и ставить бесплатный аваст(например), который находит эту заразу, а потом опять сносить и ставить лицензию...
Создать 40 папок с разрешением только на одного юзера и посмотреть в каком будет вирус=))) хотя не факт, может вирус от прав System рассылает...
Не так давно выкладывал логи с двух пользователей, вроде чисто там сейчас...
Сделайте CDюк с распакованным CureIt'ом в нескольких экземплярах и в выходной день "пробежитесь" по всем машинкам с проверкой. День, конечно, насмарку, но я думаю, результат будет.
В общем нашел без сидюка. Удалил по сетевым папкам вирус. утром пришел, посмотрел, вирус вновь сидит, узнал время создания, узнал по логам кто в это время был в сети, посмотрел кто данными обменивался из тех кто был и нашел 3 наиболее явных подозреваемых. Начал просмотр... На первом же нашел заражение, про себя подумал "наш клиент"... лечил авастом, поудалял 4 вируса, после этого AVPTools и нашел ещё...Потом аваст сругался на руткит lsass или что то такое.
Высылаю с него логи:
Дальше пошел ещё 2 других проверить, на одном спокойствие, на втором стоял Antivirus 2008 и аваст был отключен, после его включения, обнаружился вирус. логи с него выложу завтра в этой же теме, а пока что его обычными антивирями сканю
подскажите, пожалуйста, заодно, как сервера проверять? а то их выключать нельзя на долго, даже в выходные...
только в он-лайн режиме сканирование предоставлять?=)
так-с. сегодня проверил этот компьютер авастом через удаленку. снова появился файл ht8x2.exe. поместил его в хранилище.
Так что, логи логами, а комп заражен...
Что мне дальше посоветуете?
Выложил вирусованный файл.
Последний раз редактировалось Agregad; 30.01.2009 в 11:55.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: