Случилось следующее- ни с одного компьютера в фирме стало нельзя зайти на сервер почты по привычным логинам и паролям.
Принялись смотреть компьютеры, лично на своём обнаружил странные вещи: на любую флэшку записываются файлы autorun.inf и замаскированные под корзину Temp002, storage, в которых находятся файлы sys.exe и key.exe. Ещё в RECYCLER обнаружен sysdate.exe, который никак прибить не получается.
На компьютерах установлен антивирус Avast!, но он ничего не видит.
Вопрос простой- как извести заразу и что является её(заразы) исходником(где искать)?
Сделал всё по инструкции, вот логи:
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
пришлите карантин согласно приложения 3 правил
повторите логи
Спасибо за ответ!
Карантин весит 19Мб., в которые AVZ засунул подозрительные ему *.max файлы(от 3DS MAX). Файлы давнишние, высылать все 19Мб?
Выслал.
Выполнил скрипт, autorun.inf с флэшки исчез, псевдокорзины Temp002, storage, RECYCLED остались. Из RECYCLER на C: sysdate.exe исчез. Псевдокорзины раньше с флэшки не удалялись, теперь удалились.
Чуть позже логи выложу.
Последний раз редактировалось CINN; 03.07.2009 в 23:04.
В логах ничего подозрительного.
Рекомендуется установить SP3 и последующие обновления.
Спасибо!
Можно ли как-то отыскать на компьютере оригинал(исходник), который и заражал комп? Может он где-то до сих пор лежит?
WinXP у меня лицензионная, но, когда был слабый Инет, замучила загрузкой обновлений и просьбами перегрузиться. Поэтому обновления и встроенную защиту отключил. Его встроенная защита насколько эффективна против таких троянов? Имеет ли смысл её включить снова?
Нет, конечно! Всё было удалено (см. скрипт).
Комп заражался от флэшки, а флэшка - от компа...
Обновления ставьте обязательно. Встроенный брандмауэр Windows включите, если не предполагаете использовать сторонний фаерволл.
Спасибо, так и сделаю...
Прошёлся по вышеуказанному алгоритму скриптом по всем компьютерам. Та зараза, о которой говорил вроде пропала.
Однако один компьютер странно с**я ведёт: видимо при заражении "пропала" сеть, т.е. сетевой адаптер- "неактивный", а значок сети показывает "кабель не подключен". Заразу убрал, но сеть не заработала, в диспетчере оборудования в разделе "Драйверы устройств не Plug&Play" с жёлтыми значками проблемной работы устройство Parport.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49258).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: