Показано с 1 по 13 из 13.

Win32.HLLW.Autoruner.3438 (заявка № 38397)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    20
    Вес репутации
    56

    Thumbs up Win32.HLLW.Autoruner.3438

    Здравствуйте.
    Поймал на сеть вот такую заразу.
    Появляется в папках общего доступа с правами для всех открытыми. Под создателем числятся разные учетные записи.
    Классификация дана от Dr Web.
    Помогите, пожалуйста, найти зараженную машину...не знаю от куда плодится, по-этому логи и не отправил...
    Вирус создает файлы c названиями khs и ykzcsb.exe. Первый видимо помечает, есть ли вирус в папке, ка метка используется.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Помогите, пожалуйста, найти зараженную машину...
    Это практически все равно, что сказать "пойди туда, не знаю куда, найди то, не знаю что"! Мы же ничего не знаем о вашей сети. Если это всего несколько машин - не поленитесь, сделайте логи на всех (каждому - своя тема). Найдем и вылечим. Если же их много, придется вам заняться разграничением прав доступа к вашим папкам, а также пропагандой "правильных" антивирусов среди пользователей сети .

    Добавлено через 43 секунды

    P.S. Кстати, логи со своего ПК тоже сделайте.
    Последний раз редактировалось Bratez; 28.01.2009 в 11:26. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    20
    Вес репутации
    56
    Спасибо что откликнулись=)

    Да я сам написал и понимал, что абстракцию какую то пишу...В сети 40 машин...а я ленивый=)
    могу выслать сам вирусняк(точнее корни его, которые по сети летают)=)

    Антивирус я б давно выкинул, симантек у нас корпоративный и лицензионный...
    а отправить им файл вируса не могу, не нашел такую функцию у них..

    Просто не могу даже представить как пойду по всем пользователям и буду сносить лицензионный и ставить бесплатный аваст(например), который находит эту заразу, а потом опять сносить и ставить лицензию...

    Создать 40 папок с разрешением только на одного юзера и посмотреть в каком будет вирус=))) хотя не факт, может вирус от прав System рассылает...

    Не так давно выкладывал логи с двух пользователей, вроде чисто там сейчас...

    http://virusinfo.info/showthread.php?t=38007
    http://virusinfo.info/showthread.php?t=37531

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте CDюк с распакованным CureIt'ом в нескольких экземплярах и в выходной день "пробежитесь" по всем машинкам с проверкой. День, конечно, насмарку, но я думаю, результат будет.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    20
    Вес репутации
    56
    В общем нашел без сидюка. Удалил по сетевым папкам вирус. утром пришел, посмотрел, вирус вновь сидит, узнал время создания, узнал по логам кто в это время был в сети, посмотрел кто данными обменивался из тех кто был и нашел 3 наиболее явных подозреваемых. Начал просмотр... На первом же нашел заражение, про себя подумал "наш клиент"... лечил авастом, поудалял 4 вируса, после этого AVPTools и нашел ещё...Потом аваст сругался на руткит lsass или что то такое.
    Высылаю с него логи:
    Дальше пошел ещё 2 других проверить, на одном спокойствие, на втором стоял Antivirus 2008 и аваст был отключен, после его включения, обнаружился вирус. логи с него выложу завтра в этой же теме, а пока что его обычными антивирями сканю
    СПАСИБО ЗА ПОМОШЬ
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто...

  8. #7
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    20
    Вес репутации
    56
    подскажите, пожалуйста, заодно, как сервера проверять? а то их выключать нельзя на долго, даже в выходные...
    только в он-лайн режиме сканирование предоставлять?=)

  9. #8
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    20
    Вес репутации
    56
    так-с. сегодня проверил этот компьютер авастом через удаленку. снова появился файл ht8x2.exe. поместил его в хранилище.
    Так что, логи логами, а комп заражен...
    Что мне дальше посоветуете?
    Выложил вирусованный файл.
    Последний раз редактировалось Agregad; 30.01.2009 в 11:55.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Если есть расшаренные папки ищите инфектора в сети...

  11. #10
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    20
    Вес репутации
    56
    Папки расшаренные есть. После лечения этого компьютера, в сети уже exe файлы не появляются...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    ht8x2.exe_ - Trojan.Win32.Autoit.vp
    так его будет обзывать касперский.

  13. #12
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    20
    Вес репутации
    56
    А как его лечить? откуда у него корни? это по сети его кидают на компьютер или где то в самом компьютере корни его?

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\ht8x2.exe - Trojan.Win32.Autoit.vp


  • Уважаемый(ая) Agregad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLW.Autohit.3438 и Win32.HLLW.Gavir.ini
      От parus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.03.2009, 14:13
    2. Win32.HHLW.Autoruner.3438
      От Rogoff в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:57
    3. Win32.HLLW.Autoruner.corrupted / Win32.HLLW.Autoruner.5555 [Net-Worm.Win32.Kido.ih ]
      От heidelberg23 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:49
    4. Win32.HLLW.Autoruner.3438 и 4801 - Помогите справиться!
      От red_house в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 18.12.2008, 19:18
    5. Win32/Sality.NAU & Win32.HLLW.Autoruner.3438, 2905, 3321, 3912
      От Vlad_Bor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.11.2008, 11:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00276 seconds with 20 queries