Printable View
В корне дисков стали появляться папки вида:
1. Фотки.scr
2. Я.scr
Имя папки берётся из имён папок зараженной машины, в случаях когда открываешь её расшаренные ресурсы. Антивирус Dr.Web нечего подозрительного не находит.
Папки поддаются ручному удалению, но в последствии снова появляются
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
При попытке прогона скрипта выходит ошибка №1 (1.jpg). При перезапуске AVZ выходит ошибка №2 (2.jpg). Скрины в аттаче. Система Windows 7, AVZ запускается от имени администратора.
При перезагрузке, всё повторяется.
А так?
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Теперь скрипт прошёл. Выкладываю логи и карантин.
Инфа о карантине:
Файл сохранён как 100621_132012_virus_4c1f2ecc51d95.zip
Размер файла 270423
MD5 1c6847228d6e815c9ba55ea936e995f6
Что сейчас с проблемой? Файлы появляются в расшаренных ресурсах?
Сейчас помониторю. Они появляются не моментально. Встречный вопрос: что это за вирус такой и как сеть излечить от него? В идеале хотелось бы исполняющий файлик-таблетка для дальнейшего распространения по домену.
[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]
Сейчас глянул... снова появляются. Пока по 1-й в каждом разделе, но дойдёт до 9 помоему.
Появляются на моей машинке, после того как я пробежался по домену по админским шарам
На Вашем компьютере
[QUOTE='thyrex;658270']Файлы появляются в расшаренных ресурсах?[/QUOTE]
На моей машине расшаренных ресурсов нет. Папки появляются в корне каждого из разделов
Закрывайте административный доступ к дискам
[QUOTE] >> Заблокированы настройки системы System Restore[/QUOTE]Сами блокировали?
[QUOTE=thyrex;658675]Закрывайте административный доступ к дискам
Сами блокировали?[/QUOTE]
Закрытие административного доступа - не вариант по целому ряду причин.
System Restore заблокирован доменной политикой.
Тогда ищите зараженный компьютер в домене, с которого зверь приходит к Вам
Соглашусь лишь с тем, что есть так сказать эпицентр. И я даже догадываюсь где примерно (одна из 11 машин в одном из подразделений), везде стоит корпоративный Др.Веб, ессесно с актуальными базами. Логи я приводил со свой машинки, так как мне проще было это делать у себя на рабочем месте. Факт заражения налицо. Пробовал различные ЛайфСД, КуреИТ, от Кашперовского что-то... толку 0. Отправил запрос Др.Вебу, примерно 24 часа назад, а отвечают они в течении 48-ми часов.
На всех машинах признаки абсолютно одинаковые, т.е. "альфа-самца" не выявить явным образом.
Если идей больше нет, за сим раскланяюсь. Спасибо за помощь. Если что накопаю, обязательно расскажу.
Пришлите одну такую папку в zip архиве с паролем virus по ссылке [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы.
Отправил 11 таких папок в архиве с паролем virus
Файл сохранён как 100624_235415_Virus_4c23b7e732f29.zip
Размер файла 1440
MD5 702d31391463b0bb3ad8561939b05bd2
Карантин совершенно пустой
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]