появляются exe и pif файлы в корне дисков (заявка №29390)
Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
На сервере (SBS2003R2)
автоматически создаются файлы autorun.inf, а также постоянно появляются exe и pif файлы в корне дисков.блокируются сайты всех поризводителей антивирусных порграмм и любое и упоминание.
при запуске.avz.exe он автоматически закрывается через несколько секунд.
Анивирус касперский отключается через несколько секунд после запуска.
Что сделали - отключили от сети, запустили Dr.Web CureIt он нашел более 2000 файлов с вирусом Win32 Sector 22, примерно 300 файлов были перемещены в карантин(модифицированные), остальные вылечил.После лечения с сервера были убраны все сетевые папки. Установлен drWeb для серверов. Сайты всех поризводителей антивирусных порграмм разблокировались,разрешили запучуск диспетчера задач через реестр. Подумали что справились с вирусом.
Через день drWeb начал выдовать сообщение о вирусе, сейчас ситуация - ежесекундно Вкцуи пишет сообщение что вылечил файлы, в корни дисков плодятся сотни exe файлов, сканер DrWeb запускается, при сканировании памяти вываливается с ошибкой, сканирование Dr.Web CureIt тоже ни к чему не приводит, ищет только на диске в памяти не находит ничего. Сайты анивирусных программ открываются, диспетчер задач, редактор реестра запускаются.
Дата обращения: 09.09.2010 22:57:25
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=29390]29390[/URL]
not-a-virus:RemoteAdmin.Win32.RAdmin.22
[B]10.09.2010 20:40:16[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]E:\Avtoobmen\RestartService\ftp.bat[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 59 байт[*] дата файла: 10.12.2009 22:53:48[/LIST][*] [B]E:\Avtoobmen\ups_8\end_DMmaster.bat[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 39 байт[*] дата файла: 30.03.2010 17:31:50[/LIST][*] [B]E:\Avtoobmen\ups_8\obmen_ups_in.bat[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 442 байт[*] дата файла: 06.09.2010 11:09:32[/LIST][*] [B]E:\Avtoobmen\ups_8\obmen_ups_out.bat[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 425 байт[*] дата файла: 06.09.2010 11:09:40[/LIST][*] [B]C:\WINDOWS\system32\r_server.exe[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:RemoteAdmin.Win32.RAdmin.22]not-a-virus:RemoteAdmin.Win32.RAdmin.22[/URL]
[LIST][*] размер: 724992 байт[*] дата файла: 30.03.2005 2:15:58[*] версия: "2, 2, 0, 0"[*] копирайты: "Software and all its components Copyright © 1999-2004 Dmitri Znosko. All rights reserved."[*] детект других антивирусов: DrWEB 5.0: Зловред Program.RemoteAdmin.167[/LIST][*] [B]c:\windows\microsoft.net\framework\v1.1.4322\temporary asp.net files\root\c22b6520\4fafa537\yow21rkc.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 14848 байт[*] дата файла: 06.09.2010 10:24:04[/LIST][/LIST]
