-
появляются exe и pif файлы в корне дисков (заявка №29390)
Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
На сервере (SBS2003R2)
автоматически создаются файлы autorun.inf, а также постоянно появляются exe и pif файлы в корне дисков.блокируются сайты всех поризводителей антивирусных порграмм и любое и упоминание.
при запуске.avz.exe он автоматически закрывается через несколько секунд.
Анивирус касперский отключается через несколько секунд после запуска.
Что сделали - отключили от сети, запустили Dr.Web CureIt он нашел более 2000 файлов с вирусом Win32 Sector 22, примерно 300 файлов были перемещены в карантин(модифицированные), остальные вылечил.После лечения с сервера были убраны все сетевые папки. Установлен drWeb для серверов. Сайты всех поризводителей антивирусных порграмм разблокировались,разрешили запучуск диспетчера задач через реестр. Подумали что справились с вирусом.
Через день drWeb начал выдовать сообщение о вирусе, сейчас ситуация - ежесекундно Вкцуи пишет сообщение что вылечил файлы, в корни дисков плодятся сотни exe файлов, сканер DrWeb запускается, при сканировании памяти вываливается с ошибкой, сканирование Dr.Web CureIt тоже ни к чему не приводит, ищет только на диске в памяти не находит ничего. Сайты анивирусных программ открываются, диспетчер задач, редактор реестра запускаются.
Дата обращения: 09.09.2010 22:57:25
Номер заявки: 29390
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
not-a-virus:RemoteAdmin.Win32.RAdmin.22
10.09.2010 20:40:16 на зараженном компьютере были обнаружены следующие вредоносные файлы:
- E:\Avtoobmen\RestartService\ftp.bat - подозрительный, обрабатывается вирлабом
- размер: 59 байт
- дата файла: 10.12.2009 22:53:48
- E:\Avtoobmen\ups_8\end_DMmaster.bat - подозрительный, обрабатывается вирлабом
- размер: 39 байт
- дата файла: 30.03.2010 17:31:50
- E:\Avtoobmen\ups_8\obmen_ups_in.bat - подозрительный, обрабатывается вирлабом
- размер: 442 байт
- дата файла: 06.09.2010 11:09:32
- E:\Avtoobmen\ups_8\obmen_ups_out.bat - подозрительный, обрабатывается вирлабом
- размер: 425 байт
- дата файла: 06.09.2010 11:09:40
- C:\WINDOWS\system32\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22
- размер: 724992 байт
- дата файла: 30.03.2005 2:15:58
- версия: "2, 2, 0, 0"
- копирайты: "Software and all its components Copyright © 1999-2004 Dmitri Znosko. All rights reserved."
- детект других антивирусов: DrWEB 5.0: Зловред Program.RemoteAdmin.167
- c:\windows\microsoft.net\framework\v1.1.4322\tempo rary asp.net files\root\c22b6520\4fafa537\yow21rkc.dll - подозрительный, обрабатывается вирлабом
- размер: 14848 байт
- дата файла: 06.09.2010 10:24:04
-