Показано с 1 по 17 из 17.

Папки вида %name%.scr (заявка № 81425)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24

    Exclamation Папки вида %name%.scr

    В корне дисков стали появляться папки вида:
    1. Фотки.scr
    2. Я.scr

    Имя папки берётся из имён папок зараженной машины, в случаях когда открываешь её расшаренные ресурсы. Антивирус Dr.Web нечего подозрительного не находит.

    Папки поддаются ручному удалению, но в последствии снова появляются
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
     QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
     DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24
    При попытке прогона скрипта выходит ошибка №1 (1.jpg). При перезапуске AVZ выходит ошибка №2 (2.jpg). Скрины в аттаче. Система Windows 7, AVZ запускается от имени администратора.

    При перезагрузке, всё повторяется.
    Изображения Изображения
    • Тип файла: jpg 1.jpg (72.3 Кб, 15 просмотров)
    • Тип файла: jpg 2.jpg (33.1 Кб, 12 просмотров)

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    А так?

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
     QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
     DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24
    Теперь скрипт прошёл. Выкладываю логи и карантин.

    Инфа о карантине:

    Файл сохранён как 100621_132012_virus_4c1f2ecc51d95.zip
    Размер файла 270423
    MD5 1c6847228d6e815c9ba55ea936e995f6
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Что сейчас с проблемой? Файлы появляются в расшаренных ресурсах?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24
    Сейчас помониторю. Они появляются не моментально. Встречный вопрос: что это за вирус такой и как сеть излечить от него? В идеале хотелось бы исполняющий файлик-таблетка для дальнейшего распространения по домену.

    Добавлено через 46 минут

    Сейчас глянул... снова появляются. Пока по 1-й в каждом разделе, но дойдёт до 9 помоему.

    Появляются на моей машинке, после того как я пробежался по домену по админским шарам
    Последний раз редактировалось Wirel; 21.06.2010 в 15:17. Причина: Добавлено

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    На Вашем компьютере
    Цитата Сообщение от thyrex Посмотреть сообщение
    Файлы появляются в расшаренных ресурсах?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24
    На моей машине расшаренных ресурсов нет. Папки появляются в корне каждого из разделов

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Закрывайте административный доступ к дискам

    >> Заблокированы настройки системы System Restore
    Сами блокировали?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    Закрывайте административный доступ к дискам

    Сами блокировали?
    Закрытие административного доступа - не вариант по целому ряду причин.

    System Restore заблокирован доменной политикой.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Тогда ищите зараженный компьютер в домене, с которого зверь приходит к Вам
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24
    Соглашусь лишь с тем, что есть так сказать эпицентр. И я даже догадываюсь где примерно (одна из 11 машин в одном из подразделений), везде стоит корпоративный Др.Веб, ессесно с актуальными базами. Логи я приводил со свой машинки, так как мне проще было это делать у себя на рабочем месте. Факт заражения налицо. Пробовал различные ЛайфСД, КуреИТ, от Кашперовского что-то... толку 0. Отправил запрос Др.Вебу, примерно 24 часа назад, а отвечают они в течении 48-ми часов.

    На всех машинах признаки абсолютно одинаковые, т.е. "альфа-самца" не выявить явным образом.

    Если идей больше нет, за сим раскланяюсь. Спасибо за помощь. Если что накопаю, обязательно расскажу.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пришлите одну такую папку в zip архиве с паролем virus по ссылке Прислать запрошенный карантин вверху темы.

  16. #15
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    24
    Отправил 11 таких папок в архиве с паролем virus

    Файл сохранён как 100624_235415_Virus_4c23b7e732f29.zip
    Размер файла 1440
    MD5 702d31391463b0bb3ad8561939b05bd2

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Карантин совершенно пустой
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Wirel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Autorun на HDD, файлы вида slurv.exe
      От DmitryOlenin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.05.2011, 15:26
    2. Не изменяются настройки вида папок
      От Pete'n'Cat в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.09.2009, 01:22
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:01
    4. паразитные процессы вида 3E02.tmp
      От Synthetic_God в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.02.2009, 14:15
    5. Файлы вида sp**.sys
      От alex_dt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.11.2008, 17:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00326 seconds with 22 queries