Вчера на части компьютеров начали появляться пороблемы с доступом, потом перестал запускаться 1С по сети. При запуске останавливаются службы (по наблюдениям начинает со Службы обозревателя сети) Симптомы схожи с Kido, но ни одна утилита его не обнаруживает на зараженных машинах. Зараженные компьютеры заваливают всю сеть запросамти по 445-порту, NOD ничего не неходит, CureIt находит что-то с названием HLLW.DRUCK, но его удаление не помогает. Замучился уже с ним..
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
По первой машине: логи чистые. Проблема, про которую писали вначале, осталась, или ушла? По второй машине - пожалуйста, откройте новую тему в разделе "Помогите!" и передвиньте туда логи. На форуме существует правило: новая машина - новая тема, иначе быстро запутаемся.
Добавлено через 3 минуты
В дополнение: в карантине: C:\WINDOWS\system32\drivers\sysdrv32.sys - Worm.Win32.AutoRun.ezt (по классификации лаборатории Касперского)
Последний раз редактировалось Numb; 10.06.2009 в 23:38.
Причина: Добавлено
Спасибо огромное. По первой пролблем вроде бы не наблюдается.
Вопрос только в том, что компьютеров с такими же симптомами штук 10. возможно ли применять этот скрипт ко всем, не создавать же 10 тем)
Не стоит. Судя по логам второй машины, часть этой заразы AVZ чистит в процессе лечения, а применяемые имена могут различаться. Для разных машин - разные темы и разные скрипты.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: