Printable View
Подозрение на вирус, использующий руткит, т.к. начали пропадать файлы с терминального сервера, точнее не пропадать, а становится нулевой длинны.
Стоит symantec 10.1.5.5000 обновленный, ничего подозрительного не видит, Cureit обнаружил только trojan.packed.424 в темповой папке пользователя с правами "user" и благополучно удалил, но система продолжает вести себя не корректно.
ОСЬ win2k3 Enterprise Edition SP1
выполните скрипт ...
[code]
begin
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\BCSWAP.sys','');
QuarantineFile('Tnetianc.sys','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
в карантине вижу только BCSWAP.sys
Вот лог:
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Administrator\WINDOWS\System32\Drivers\Beep.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Administrator\WINDOWS\System32\Drivers\Beep.SYS)
Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\BCSWAP.sys)
Выполнен карантин файла C:\WINDOWS\system32\Drivers\BCSwap.sys
Ошибка карантина файла, попытка прямого чтения (Tnetianc.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Tnetianc.sys)
Карантин с использованием прямого чтения - ошибка
Логи прилагаются:
загрузка карантина:
Результат загрузки
Файл сохранён как 080529_210831_virus_483f619fcc956.zip
Размер файла 33234
MD5 976358c7cb63cc283928f1fcb3c965a8
Файл закачан, спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]
пойду посплю :)
немного подремав, весь день следил за серваком, находившемся в "карантине", вроде работает :) , значит с локалки гадость :(
BCSWAP.sys Вредоносный код в файле не обнаружен.
больше нет ничего подозрительного ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]