Небольшая локалка, шары на файловом сервере подключены как сетевые диски на локальных ПК. В сетевых дисках нескольких пользователей были замечены autorun.inf и скрытая папка с .ехе файлом.
Вирус на сервере к счастью не активируется - некому его там локально запускать и детектится CureIT и НОДом (правда последний запаздывает с обновлением баз, первая модификация была добавлена после моего рапорта, сейчас вот про вторую модификацию послал)
на локальном ПК вирус хитро спрятан и не детектится НОД и CureIT. Единственный видимый признак - авторан и ехе на сетевом диске пользователя.
ещё заметил на сервере непонятное UDP подключение с этого ПК на
uvjek.kuvai.svoje.aljosaborkovic.com
порт к сожалению не записал. На самом ПК это подключение не видно. (возможно было кратковременное и я просто не успел)
Во вложении логи хайджек, авз и два архива с куском вируса (пароль 1234567890 )
Последний раз редактировалось pig; 17.03.2010 в 23:58.
Причина: вирусы в теме неуместны
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Запустите AVZ.
В меню AVZPM -> Установить драйвер расширенного мониторинга.
Перезагрузите компьютер.
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
не могу возразить... там странная история вообще получается.
Сначала у новой сотрудницы, которая полдня поработала за ПК, при подключении сетевых дисков, на них появились авторан инф и скрытая папка.
Антивирус НОД на сервере на тот момент не детектил. Антивирус на локальном ПК не детектил. (за сутки мой запрос в Исете обработали и добавили вирус в базу)
CureIT отловило файл на сервере, память чистая
им же просканировал ПК - чистый
Восстановил систему из образа и не стал заморачиваться с отловом.
Через пару дней второй случай, по которому я уже отписал сюда, с другим ПК. Если сопоставить время создания авторана на сетевом диске и логов интернет-сервера, то счастье пришло с одноклассников (в первом случае статистика на нового юзера ещё не была заведена, но предположительно тоже гость из соцсетей).
НОД на сервере задетектил авторан, но упорно игнорировал .ехе даже при тыканьи носом. CureIT согласился что это вирус, но в памяти сервера чисто.
НОД на ПК молчал, CureIT на ПК нашел что-то вроде csrss.exe в %userprofile% и все, память так же чистая.
На сервере чисто вот уже два дня.
Странная история... но раз в логах заразы не видно, то пока наверное можно закрыть. Возможно это какой-то недовирус который срабатывает при запуске и не оставляет ничего в системе.
Спасибо за внимание.
Уважаемый(ая) -13-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: