Показано с 1 по 5 из 5.

предположительно win32.HLLW.Lime (заявка № 73806)

  1. #1
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    4
    Вес репутации
    52

    Thumbs up предположительно win32.HLLW.Lime

    Небольшая локалка, шары на файловом сервере подключены как сетевые диски на локальных ПК. В сетевых дисках нескольких пользователей были замечены autorun.inf и скрытая папка с .ехе файлом.
    Вирус на сервере к счастью не активируется - некому его там локально запускать и детектится CureIT и НОДом (правда последний запаздывает с обновлением баз, первая модификация была добавлена после моего рапорта, сейчас вот про вторую модификацию послал)

    на локальном ПК вирус хитро спрятан и не детектится НОД и CureIT. Единственный видимый признак - авторан и ехе на сетевом диске пользователя.

    ещё заметил на сервере непонятное UDP подключение с этого ПК на
    uvjek.kuvai.svoje.aljosaborkovic.com
    порт к сожалению не записал. На самом ПК это подключение не видно. (возможно было кратковременное и я просто не успел)

    Во вложении логи хайджек, авз и два архива с куском вируса (пароль 1234567890 )
    Последний раз редактировалось pig; 17.03.2010 в 23:58. Причина: вирусы в теме неуместны

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Запустите AVZ.
    В меню AVZPM -> Установить драйвер расширенного мониторинга.
    Перезагрузите компьютер.
    Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    4
    Вес репутации
    52
    http://virusinfo.info/showpost.php?p...postcount=6257
    результат выполнения п-та 2 диагностики во вложении
    спасибо
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Нет ничего подозрительного.

  6. #5
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    4
    Вес репутации
    52
    не могу возразить... там странная история вообще получается.

    Сначала у новой сотрудницы, которая полдня поработала за ПК, при подключении сетевых дисков, на них появились авторан инф и скрытая папка.
    Антивирус НОД на сервере на тот момент не детектил. Антивирус на локальном ПК не детектил. (за сутки мой запрос в Исете обработали и добавили вирус в базу)
    CureIT отловило файл на сервере, память чистая
    им же просканировал ПК - чистый
    Восстановил систему из образа и не стал заморачиваться с отловом.

    Через пару дней второй случай, по которому я уже отписал сюда, с другим ПК. Если сопоставить время создания авторана на сетевом диске и логов интернет-сервера, то счастье пришло с одноклассников (в первом случае статистика на нового юзера ещё не была заведена, но предположительно тоже гость из соцсетей).
    НОД на сервере задетектил авторан, но упорно игнорировал .ехе даже при тыканьи носом. CureIT согласился что это вирус, но в памяти сервера чисто.
    НОД на ПК молчал, CureIT на ПК нашел что-то вроде csrss.exe в %userprofile% и все, память так же чистая.

    На сервере чисто вот уже два дня.

    Странная история... но раз в логах заразы не видно, то пока наверное можно закрыть. Возможно это какой-то недовирус который срабатывает при запуске и не оставляет ничего в системе.

    Спасибо за внимание.

  • Уважаемый(ая) -13-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLW.lime.18
      От Dock3r в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.12.2010, 05:32
    2. антивирус бессилен -- win32.hllw.lime.8
      От londres в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 15.07.2010, 05:18
    3. поймал Win32.HLLW.Lime.187
      От Роман88 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 11.03.2010, 13:22
    4. Нужна помощь Win32.HLLW.Lime.based.18
      От Pioner в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 11.10.2009, 17:14
    5. win32.HLLW.Lime.18
      От manki!! в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 27.08.2009, 19:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00670 seconds with 20 queries