Показано с 1 по 12 из 12.

Исчезает содержимое файлов, восстановление невозможно. (заявка № 69145)

  1. #1
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26

    Question Исчезает содержимое файлов, восстановление невозможно.

    Здравствуйте.

    Суть проблемы в следующем: у нас в офисе более 20 ПК. Плюс сейчас к нам приезжают в день еще около 20 клиентов со своими компьютерами. Ориентировочно 19.01 с компьютера одной из компьютеров с Алтайского края в нашу сеть был занесен некий вирус, который не был определен антивирусом Dr.Web Security Space версии 5, базы которого постоянно обновляются, а настройки проверки выставлены по-максимуму. В нашей сети вирус проявил себя 20-го - 21-го числа следующим образом: через определенные промежутки времени в произвольном порядке обнуляет размер всех файлов в том числе и системных в расшаренных папках. Dr.Web CureIt! и AVPTool, а также полноценный антивирус Касперского 2010 также ничего не находят. По действию вирус напоминает Email-Worm.VBS.Agent.j 2007 года, но без его характерных симптомов. Он по-видимому также считывает дерево и создает txt-файлы нулевой длины с именами и расширениями найденных файлов, перезаписывая их, т.е. по сути затирает файлы. Файл при этом остается на диске, но в результате имеет нулевую длину. Т.к. сами файлы остаются на месте, исчезает только содержимое, восстановление пропавшей информации физически невозможно (поверьте, - мы пытались). Также вирус по-видимому передается на USB-носителях.

    Переписка со специалистами сервисного центра Dr.Web длится с 21.01 и до сих пор ничего не дала. По их рекомендации я потратил сутки на проверку 2-х десятков офисных ПК CureIt`ом, а также утилитами hijackthis, Rootkit Unhooker и GMER, сбор отчетов этих программ и отправку им этих отчетов.

    В настоящий момент работа нашей бухгалтерии полностью парализована, т.к. уничтожены базы 1с, и есть серьезная угроза уничтожения архивных копий. Также есть опасность распространения вируса по компьютерам клиентов, с которыми мы работаем. Прошу вашей помощи в поиске и уничтожении вируса.

    P.S. Высылаю отчеты с одного из наших ПК, на котором точно сегодня происходило "обнуление" файлов. У меня готовы логи и с остальных 2-х десятков ПК, те, которые требуете вы, и те, которые требовала служба сервиса Dr.Web.
    Вложения Вложения
    Последний раз редактировалось Дмитрий Титов; 28.01.2010 в 18:57.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26
    Нашел на форуме похожее обращение к вам http://virusinfo.info/showthread.php?t=66078 , однако у нас не видно описанных автором файлов.

  4. #3
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26
    Up

  5. #4
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26
    Неужели никто ничего сказать не может? С 27-го января вирус себя не проявляет, но отловить его так и не получилось. Dr.Web тоже ничего не нашел и ничего путного не посоветовал. Опасаемся возвращения вируса.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    логи переделайте с правами администратора ...

  7. #6
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26
    Спасибо за ответ.
    Вчера до позднего вечера повторно проверялся тот же ПК, как наиболее пострадавший.
    Вход в систему был выполнен из под администратора.
    AVZ работает с правами администратора.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati4bixx.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati4ahxx.sys','');
     DeleteService('ati4bixx');
     DeleteService('ati4ahxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4ahxx.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4bixx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  9. #8
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26
    Выполнил скрипт.
    После перезагрузки папка карантина оказалась пустой.
    Файлы, указанные в скрипте, не были найдены.
    Вот повторные логи. Вход в систему был выполнен из под администратора.
    AVZ работает с правами администратора.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26
    Только что обнулились расшаренные файлы на 2-х ПК, вирус снова проявил себя.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Дмитрий Титов Посмотреть сообщение
    обнулились расшаренные файлы
    IMHO, надо искать, где зверь живёт, а не где пакостит.

  12. #11
    Junior Member Репутация
    Регистрация
    28.01.2010
    Сообщений
    8
    Вес репутации
    26
    Ох, да мы ищем, с 21-го числа. Проверяли все без исключения машины как Dr.Web и предложенными их службой техподдержки утилитами (Dr.Web CureIt!, hijackthis, Rootkit Unhooker и GMER), так и антивирусом Касперского (AVPTool) и предложенным здесь AVZ. Только на проверки ушло более 2-х суток. Также одну из пострадавших машин проверял Пандой и НОД32, - ничего. Файлы шарим специально "для приманки", вирус не проявлял себя с 27-го числа.

    На всех наших 26-ти машинах стоял Dr.Web Security Space, который ежедневно автоматически обновлялся. Сейчас часть машин отключена от сети и на них ведутся работы по переустановке системы. Из оставшихся в сети машин файлы в расшаренных папках обнулились на 4-х в промежутке от 12:18 до 12:53 по местному времени. При этом файл, находящийся в этих расшаренных папках desktop.ini сохранился без изменений. В момент обнуления на этих машинах уже стоял Kaspersky Internet Security 2010, он тоже ничего не поймал. Что делать?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Ваша сеть от интернета надёжно прикрыта? Обновления безопасности на систему все установлены?

    Аудит доступа к папке-ловушке включали? Может, в событиях аудита есть зацепка.

  • Уважаемый(ая) Дмитрий Титов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Восстановление файлов
      От Radzhab в разделе Microsoft Windows
      Ответов: 11
      Последнее сообщение: 03.02.2011, 20:24
    2. Восстановление файлов
      От Radzhab в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.01.2011, 13:09
    3. Ответов: 8
      Последнее сообщение: 12.03.2010, 13:28
    4. Ответов: 6
      Последнее сообщение: 18.04.2009, 17:36
    5. Ответов: 3
      Последнее сообщение: 03.10.2008, 23:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00085 seconds with 21 queries