Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

EXE, DOC, RAR файлы стали размером 0 байт (заявка № 10349)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62

    Exclamation EXE, DOC, RAR файлы стали размером 0 байт

    На сетевой шаре файлы с расширением EXE, DOC, RAR (может еще какие - пока не обнаружил) стали размером 0 байт.
    Яндекс ничего внятного не дал, поиск по форуму тоже.

    Если кто-нибудь слышал о такой беде, подскажите название "беды" и как ее лечить.

    с уважением, goodwin

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Попробовать переименовать avz.exe в avz.cmd и сделать логи.
    Тоже самое сделать с hijackthis.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    ок, понял.

    просканирую avz и hijackthis. логи выложу сюда.

    ---Вложение 11733

    А остальные логи по правилам?
    Последний раз редактировалось Alex_Goodwin; 13.06.2007 в 14:44.

  5. #4
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    avz еще не досканировался.

  6. #5
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    есть предположение, что сканирование компа, на котором этот ресурс расшарен ничего не даст...
    причем у этих нулевых файлов последнее время модификации от 11-23 до 12-02 сегодня.

    Как обнаружить проблему в большой сети?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    avz еще не досканировался.
    Хм, вообще-то полагается по порядку делать, т.е. лог HijackThis должен быть сделан последним.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    Хорошо, тогда все по регламенту. вот файлы логов.
    Сам я в них ничего не нашел опасного. Может не так смотрю...

    все-таки думается, что не этот компьютер нагадил так, хоть шара и его.
    Доступ имели к этой шаре многие компы... все нереально в короткие сроки просканировать
    Последний раз редактировалось drongo; 13.06.2007 в 18:10. Причина: Логи AVZ должны быть по правилам,или вообще не быть ;)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Хорошо, тогда все по регламенту. вот файлы логов.
    Сэр, вы правила по диагонали читали?
    О создании необходимых логов AVZ см. п.8 и далее.
    I am not young enough to know everything...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Зверь уже виден, если это не Server 2003.
    C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe
    Логи нужны для кооректного его удаления.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от xgoodwin Посмотреть сообщение
    есть предположение, что сканирование компа, на котором этот ресурс расшарен ничего не даст...
    Скорее всего.

    Цитата Сообщение от xgoodwin Посмотреть сообщение
    Как обнаружить проблему в большой сети?
    Доступ в эту сеть анонимный или авторизованный? Можно попробовать выложить на расшаренный ресурс приманки и включить аудит обращения к ним. Необходимо, чтобы файловая система была NTFS, насколько я в этом понимаю. Может, Filemon какую-то наводку даст. Есть ещё журнал безопасности, куда, по идее может писаться информация о доступе к машине из сети. Правда, по умолчанию в него ничего не пишется

    Цитата Сообщение от PavelA Посмотреть сообщение
    Зверь уже виден, если это не Server 2003.
    C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe
    Логи нужны для кооректного его удаления.
    Windows 2000 SP4
    Только в логе AVZ ещё серия похожих путей. И обратите внимание - WINDOWS, а не WINNT, где система на самом деле стоит.
    Это терминальный сервер?

  12. #11
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    спасибо, pig, за подробный ответ.

    Цитата Сообщение от pig Посмотреть сообщение
    Скорее всего.


    Доступ в эту сеть анонимный или авторизованный? Можно попробовать выложить на расшаренный ресурс приманки и включить аудит обращения к ним. Необходимо, чтобы файловая система была NTFS, насколько я в этом понимаю. Может, Filemon какую-то наводку даст. Есть ещё журнал безопасности, куда, по идее может писаться информация о доступе к машине из сети. Правда, по умолчанию в него ничего не пишется


    Windows 2000 SP4
    Только в логе AVZ ещё серия похожих путей. И обратите внимание - WINDOWS, а не WINNT, где система на самом деле стоит.
    Это терминальный сервер?
    Ловлю на живца уже начали, восстановили exe-файлы из бэкапов, правда неизвестно какой давности.
    сканирование avz пока не закончилось...

    к тому же, эта машина файл-сервер и терминальный сервер.

  13. #12
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    вот логи avz и HijackThis

  14. #13
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    есть какие нибудь варианты?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Давайте попробуем такой скрипт:
    Код:
    begin
     BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\System32\updcrl.exe');
     BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\System32\ie4uinit.exe');
     BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe');
     BC_QrFile('c:\winnt\temp\aeff5b.exe');
     BC_QrFile('c:\winnt\System32\updcrl.exe');
     BC_QrFile('c:\winnt\System32\ie4uinit.exe');
     BC_QrFile('c:\winnt\system32\smss.exe');
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
    Последний раз редактировалось drongo; 14.06.2007 в 12:27.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    нашел описание вируса в инете, по дходящий к ситуации. 100% что это он пока нет.

    W32/Holar.d@MM
    http://vil.nai.com/vil/content/v_100168.htm

  17. #16
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    Давайте попробуем такой скрипт:

    ....

    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
    хм.. проблема в том, что это файл-сервер организации и ребутнуть его днем никак не получится.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://www.symantec.com/security_res...624-99&tabid=2
    - от Симантека описание. кстати, пишется что Касперский его тоже знает. Нужно искать машину с похожими симптомами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    проблема в том, что это файл-сервер организации и ребутнуть его днем никак не получится.
    Можно сделать такой "финт ушами": уберите из скрипта строчку RebootWindows(true); и выполните его, потом запланируйте перезагрузку с помощью TaskSheduler'a или команды at на ночное время. Утром заберете карантин и лог
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    13.06.2007
    Сообщений
    47
    Вес репутации
    62
    что то не так в скрипте...
    выдает ошибку:
    Too many actual parameters в позиции 5:11

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от xgoodwin Посмотреть сообщение
    что то не так в скрипте...
    выдает ошибку:
    Too many actual parameters в позиции 5:11
    извиняемся, поправил

  • Уважаемый(ая) xgoodwin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Файлы стали с расширением CRYPTOBLOCK
      От Kortes_sv в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.04.2012, 18:35
    2. Файлы стали зашифрованы в EnCrYpTeD
      От vladrti в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.04.2011, 01:04
    3. Ответов: 7
      Последнее сообщение: 07.05.2010, 01:30
    4. Ответов: 1
      Последнее сообщение: 07.01.2010, 21:19
    5. Все exe файлы стали вирусами
      От master lyan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.08.2009, 13:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00712 seconds with 19 queries