-
Junior Member
- Вес репутации
- 54
в расшаренных папках появляются файлы kht/khv
в расшаренных на запись папках постоянно появляются скрытые файлы с именами типа - kht, khv и екзешники с названиями типа - lhclgr.exe, sbqfuf.exe. на екзешники аваст иногда ругается, иногда нет. когда ругается - называет всегда по разному, то скриптом АвтоИт, то трояном, то червем.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\temp\nsy6.tmp\registry.dll','');
QuarantineFile('C:\temp\nsy6.tmp\newadvsplash.dll','');
QuarantineFile('c:\program files\webmoney agent\wmagent.exe','');
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил.
Тут можно посоветовать только одно - не расшаривать на запись.
-
-
Junior Member
- Вес репутации
- 54
не расшаривать на запись не получится, ибо сеть и на этой машине самые большие винты, которые используются как сетевое хранилище.
-
Перечитайте ещё раз правила. Карантин в теме выкладывать нельзя.
-
-
Junior Member
- Вес репутации
- 54
дико извиняюсь. во всем виновата спешка. больше не повторится
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\temp\nsy6.tmp\newadvsplash.dll');
DeleteFile('C:\temp\nsy6.tmp\registry.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Повторите логи.
Необходимо запретить запуск исполняемых файлов из расшареных папок. Это возможно? http://www.diwaxx.ru/win/soft-policies.php
-
-
А еще поискать в сети компьтер (компьютеры), зараженные, вероятнее всего, Packed.Win32.Clone.bj (по классификации ЛК)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
дело в том что файлы 'C:\temp\nsy6.tmp\newadvsplash.dll' 'C:\temp\nsy6.tmp\registry.dll' создаются портэйбл версией файрФокса, и эта сборка ФФ на 99% не инфицирована, так как она была и на другой машине, на которой тоже были расшарены на запись папки, но проблем не было.
политики безопасности на расшареные папки выставили.
на момент заражения, да и на текущий, в сети было всего две машины. по факту заражения, вторую машину отключили от сети и прогнали на ней проверку Dr. Web CureIt!, AVPTool и AVZ "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". ничего подозрительного обнаружено не было
-
Тогда все нормально, я принял ошибочно эти файлы за вредоносные (маленький размер + расположение + дата создания и факт того, что они не попали в карантин). Проведите полную проверку куритом либо АВПтулом, может они чего найдут, в логах активного заражения не видно.
P.S.: Аваст не самый лучший антивирус.
-
-
Junior Member
- Вес репутации
- 54
полная проверка подразумевает проверку всех дисков? просто сканить террабайт видео как то не очень хочется.
зы. а какой лучший бесплатный антивирус? авира задалбывает всплывающим окном в фри версии.
-
Сообщение от
vivienna
зы. а какой лучший бесплатный антивирус? авира задалбывает всплывающим окном в фри версии.
Антивирус это сервис, он не может быть бесплатным по определению. Зачем сканировать видео? В настройках поставьте только исполняемые файлы и дело пойдет быстрее, только аваст выключите.
-
-
Junior Member
- Вес репутации
- 54
после полного сканирования курИт сказал следующее -
z15[1].exe;C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8PE34T2J;BackDoor.IRC.Letmein.13 ;Удален.;
53.scr;C:\WINDOWS\system32;BackDoor.IRC.Letmein.13 ;Удален.;
73.scr;C:\WINDOWS\system32;BackDoor.IRC.Letmein.13 ;Удален.;
Project1.exe;J:\projects\SKINS\dert;Trojan.Fakeale rt.origin;Неизлечим.Удален.;
rgovhs.exe;Z:\#ntli_backup;Win32.HLLW.Autohit.3438 ;Неизлечим.Удален.;
rgovhs.exe;Z:\clips;Win32.HLLW.Autohit.3438;Неизле чим.Удален.;
WPA_Kill.exe;Z:\install\os\activation_win_xp_sp3;T ool.Wpakill.2;;
rgovhs.exe;Z:\musik;Win32.HLLW.Autohit.3438;Неизле чим.Удален.;
rgovhs.exe;Z:\verstka;Win32.HLLW.Autohit.3438;Неиз лечим.Удален.;
те которые "Autohit" это и есть появляющиеся в расшареных папках.
но как бы ничего не изменилось - с утра снова во всех расшареных они есть.
-
Что вы ищите на своей системе? Нужно искать заразу на других компьютерах в сети...
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Гриша
Что вы ищите на своей системе? Нужно искать заразу на других компьютерах в сети...
дело в том что при отключении от сети этой машины, файлы все равно на ней появляются.
-
На флешке, значит, приносите заразу.
-
-
Junior Member
- Вес репутации
- 54
блин. давайте локализуем проблему.
проблема в том, что в расшареных папка появляются файлы.
судя по логам - машина не инфицирована. значит эти файлы появляются извне. но если ее отключить машину от сети и от инета - файлы все равно появляются.
отсюда вывод - инфицирована именно эта машина. просто инфицирована как то хитро.
я не против отключить машину от сети, от инета, поставить на нее какую нибудь прогу, которая будет следить за папкой и при попытке писать в нее, будет перехватывать того, кто пишет. (это предложение было написано в качестве примера. я не знаю возможно ли это. но мне кажется что есть пути отлова того кто пишет)
-
Компьютер "инфицирован" Microsoft Windows. Надёжный антивирус и правильное администрирование позволяют держать эту "заразу" под контролем.
Установите надежные пароли на учетные записи пользователей с правами администратора.
Установите обновления безопасности на Windows.
Смотрите на дату создания файлов kht/khv, кто их владелец.
Утилита для слежения за файловыми операциями: http://technet.microsoft.com/ru-ru/s.../bb896642.aspx или http://technet.microsoft.com/ru-ru/s.../bb896645.aspx
-
-
Junior Member
- Вес репутации
- 54
не совсем понимаю. не винда же по папкам раскаладывает всякие виряки.
правой кнопкой по файлу дает две вкладки - общие и сводка. в общих только чтение и скрытый, дата создания - 5 октября 2009 г., 19:39:36. в сводке - все пусто.
-
Junior Member
- Вес репутации
- 54
процессМонитор отловил момент записи -
12:27:40,7782855 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
12:27:40,7822862 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
12:27:40,9074310 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
12:27:40,9159452 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
12:27:40,9230128 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
12:27:40,9532576 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
12:27:40,9615593 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
12:27:42,4577881 Explorer.EXE 2568 QueryOpen Z:\_new SUCCESS CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 12:27:41, LastWriteTime: 06.10.2009 12:27:40, ChangeTime: 06.10.2009 12:27:40, AllocationSize: 0, EndOfFile: 0, FileAttributes: D
но мне это ничего не говорит. может вам скажет?
Добавлено через 2 часа 8 минут
немного расширеный лог процуссМонитора -
13:58:58,5046541 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Execute/Traverse, Disposition: Open, Options: Directory, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a, OpenResult: Opened 0.0000402
13:58:58,5078478 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000758
13:58:58,5079427 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryBasicInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 12:47:36, ChangeTime: 06.10.2009 12:47:36, FileAttributes: D 0.0000032 Read Metadata
13:58:58,5079525 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000137
13:58:58,5079739 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000043
13:58:58,5094569 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000305
13:58:58,5095210 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000079
13:58:58,5095329 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000042
13:58:58,5126890 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000332
13:58:58,5127450 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000084
13:58:58,5127574 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000046
13:58:58,5157068 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000288
13:58:58,5157557 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000079
13:58:58,5157675 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000041
13:58:58,5186715 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000283
13:58:58,5187196 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000078
13:58:58,5187313 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000039
13:58:58,5218589 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000294
13:58:58,5219086 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000080
13:58:58,5219204 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000041
13:58:58,5270950 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000299
13:58:58,5271458 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000079
13:58:58,5271576 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000042
13:58:58,5294506 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0097965 Read Metadata
13:58:58,5324054 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Read Attributes, Synchronize, Disposition: Open, Options: Directory, Complete If Oplocked, Attributes: DN, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000352
13:58:58,5324510 System 4 FASTIO_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryNetworkOpenInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 01.01.1601 3:00:00, EndOfFile: 01.01.1601 3:00:00, FileAttributes: D 0.0000019 Read Metadata
13:58:58,5324567 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryEaInformationFile, EaSize: 98 0.0000029 Read Metadata
13:58:58,5324653 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryStreamInformationFile 0.0000044 Read Metadata
13:58:58,5324747 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryAttributeTagFile, Attributes: D, ReparseTag: 0x0 0.0000024 Read Metadata
13:58:58,5324824 System 4 IRP_MJ_QUERY_SECURITY Z:\_new BUFFER OVERFLOW Information: Owner, Group, DACL, SACL 0.0000022 Read Metadata
13:58:58,5324900 System 4 IRP_MJ_QUERY_SECURITY Z:\_new SUCCESS Information: Owner, Group, DACL, SACL 0.0000018 Read Metadata
13:58:58,5337248 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryFileInternalInformationFile, IndexNumber: 0x3000000019925 0.0000038 Read Metadata
13:58:58,5350961 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000667
13:58:58,5351872 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000024 Read Metadata
13:58:58,5351961 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000083
13:58:58,5352083 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000044
13:58:58,5364609 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000108
13:58:58,5364795 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000054
13:58:58,5378473 System 4 IRP_MJ_QUERY_VOLUME_INFORMATION Z:\_new SUCCESS Type: QueryAttributeInformationVolume, FileSystemAttributes: Case Preserved, Case Sensitive, Unicode, ACLs, Compression, Named Streams, EFS, Object IDs, Reparse Points, Sparse Files, Quotas, MaximumComponentNameLength: 255, FileSystemName: NTFS 0.0000041
13:58:58,5392705 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0658307 Read Metadata
13:58:58,6051294 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0107725 Read Metadata
13:58:58,6128827 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000308
13:58:58,6129375 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000022 Read Metadata
13:58:58,6129464 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000080
13:58:58,6129583 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000044
13:58:58,6159214 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0062914 Read Metadata
13:58:58,6191236 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000375
13:58:58,6192037 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000021 Read Metadata
13:58:58,6192123 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000081
13:58:58,6192243 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000045
13:58:58,6222361 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0152037 Read Metadata
13:58:58,6374680 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0117308 Read Metadata
13:58:58,6403282 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Read Attributes, Synchronize, Disposition: Open, Options: Directory, Complete If Oplocked, Attributes: DN, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000321
13:58:58,6403704 System 4 FASTIO_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryNetworkOpenInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 01.01.1601 3:00:00, EndOfFile: 01.01.1601 3:00:00, FileAttributes: D 0.0000018 Read Metadata
13:58:58,6403761 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryEaInformationFile, EaSize: 98 0.0000026 Read Metadata
13:58:58,6403844 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryStreamInformationFile 0.0000039 Read Metadata
13:58:58,6403932 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryAttributeTagFile, Attributes: D, ReparseTag: 0x0 0.0000025 Read Metadata
13:58:58,6404009 System 4 IRP_MJ_QUERY_SECURITY Z:\_new BUFFER OVERFLOW Information: Owner, Group, DACL, SACL 0.0000019 Read Metadata
13:58:58,6404083 System 4 IRP_MJ_QUERY_SECURITY Z:\_new SUCCESS Information: Owner, Group, DACL, SACL 0.0000016 Read Metadata
13:58:58,6418378 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000343
13:58:58,6418990 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000026 Read Metadata
13:58:58,6419089 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000097
13:58:58,6419231 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000051
13:58:58,6432342 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000105
13:58:58,6432513 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000049
13:58:58,6450028 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000279
13:58:58,6450531 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000022 Read Metadata
13:58:58,6450613 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000080
13:58:58,6450731 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000039
13:58:58,6492178 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME Read Metadata
13:58:58,6540342 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Read Attributes, Synchronize, Disposition: Open, Options: Directory, Complete If Oplocked, Attributes: DN, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000300
13:58:58,6540733 System 4 FASTIO_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryNetworkOpenInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 01.01.1601 3:00:00, EndOfFile: 01.01.1601 3:00:00, FileAttributes: D 0.0000017 Read Metadata
13:58:58,6540787 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryEaInformationFile, EaSize: 98 0.0000027 Read Metadata
13:58:58,6540868 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryStreamInformationFile 0.0000039 Read Metadata
13:58:58,6540955 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryAttributeTagFile, Attributes: D, ReparseTag: 0x0 0.0000023 Read Metadata
13:58:58,6541028 System 4 IRP_MJ_QUERY_SECURITY Z:\_new BUFFER OVERFLOW Information: Owner, Group, DACL, SACL 0.0000018 Read Metadata
13:58:58,6541100 System 4 IRP_MJ_QUERY_SECURITY Z:\_new SUCCESS Information: Owner, Group, DACL, SACL 0.0000016 Read Metadata
13:58:58,6555655 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000341
13:58:58,6556268 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000026 Read Metadata
13:58:58,6556371 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000138
13:58:58,6556548 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000044
13:58:58,6569138 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000108
13:58:58,6569319 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000049
13:59:00,1342259 Explorer.EXE 2568 FASTIO_NETWORK_QUERY_OPEN Z:\_new SUCCESS CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:59, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 0, EndOfFile: 0, FileAttributes: D 0.0000071
13:59:00,1344054 Explorer.EXE 2568 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a, OpenResult: Opened 0.0000382
13:59:00,1392149 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: QueryDirectory, 1: .., 2: Beeline_XP.exe, 3: bottom.html, 4: bottom2.html, 5: Denwer3_Base_2008-01-13_a2.2.4_p5.2.4_m5.0.45_pma2.6.1.exe, 6: ie6.css, 7: jwmxpt.exe, 8: kht 0.0000203 Read Metadata
13:59:00,1392685 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000028 Read Metadata
13:59:00,1392812 Explorer.EXE 2568 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000155
13:59:00,1393011 Explorer.EXE 2568 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000076
13:59:10,3477644 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000176
13:59:10,3477876 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000070
13:59:27,0374295 System 4 IRP_MJ_WRITE Z:\_new SUCCESS Offset: 0, Length: 4 096, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O 0.0002930 Write
14:11:01,7916032 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Execute/Traverse, Disposition: Open, Options: Directory, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a, OpenResult: Opened 0.0000360
14:11:10,9240152 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000204
14:11:10,9240455 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000070
14:40:19,9665373 System 4 IRP_MJ_WRITE Z:\_new SUCCESS Offset: 0, Length: 4 096, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O 0.0001839 Write
Добавлено через 2 минуты
странно. интересный фрагмент лога - "Impersonating: SHNAPS_PC\Гость". но учетная запись "гость" отключена
Добавлено через 5 часов 37 минут
в администрирование-управлениеКомпутером-учетныеЗаписи была обнаружена учетная запись гость во включеном состоянии. была жестоко отключена. появление файлов прекратилось.
но это не снимает вопрос - откуда они там появлялись?
кто то ведь их писал раз в час.
Последний раз редактировалось vivienna; 06.10.2009 в 21:26.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-