-
Junior Member
- Вес репутации
- 62
EXE, DOC, RAR файлы стали размером 0 байт
На сетевой шаре файлы с расширением EXE, DOC, RAR (может еще какие - пока не обнаружил) стали размером 0 байт.
Яндекс ничего внятного не дал, поиск по форуму тоже.
Если кто-нибудь слышал о такой беде, подскажите название "беды" и как ее лечить.
с уважением, goodwin
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробовать переименовать avz.exe в avz.cmd и сделать логи.
Тоже самое сделать с hijackthis.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
ок, понял.
просканирую avz и hijackthis. логи выложу сюда.
---Вложение 11733
А остальные логи по правилам?
Последний раз редактировалось Alex_Goodwin; 13.06.2007 в 14:44.
-
Junior Member
- Вес репутации
- 62
avz еще не досканировался.
-
Junior Member
- Вес репутации
- 62
есть предположение, что сканирование компа, на котором этот ресурс расшарен ничего не даст...
причем у этих нулевых файлов последнее время модификации от 11-23 до 12-02 сегодня.
Как обнаружить проблему в большой сети?
-
avz еще не досканировался.
Хм, вообще-то полагается по порядку делать, т.е. лог HijackThis должен быть сделан последним.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Хорошо, тогда все по регламенту. вот файлы логов.
Сам я в них ничего не нашел опасного. Может не так смотрю...
все-таки думается, что не этот компьютер нагадил так, хоть шара и его.
Доступ имели к этой шаре многие компы... все нереально в короткие сроки просканировать
Последний раз редактировалось drongo; 13.06.2007 в 18:10.
Причина: Логи AVZ должны быть по правилам,или вообще не быть ;)
-
Хорошо, тогда все по регламенту. вот файлы логов.
Сэр, вы правила по диагонали читали?
О создании необходимых логов AVZ см. п.8 и далее.
I am not young enough to know everything...
-
-
Зверь уже виден, если это не Server 2003.
C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe
Логи нужны для кооректного его удаления.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
xgoodwin
есть предположение, что сканирование компа, на котором этот ресурс расшарен ничего не даст...
Скорее всего.
Сообщение от
xgoodwin
Как обнаружить проблему в большой сети?
Доступ в эту сеть анонимный или авторизованный? Можно попробовать выложить на расшаренный ресурс приманки и включить аудит обращения к ним. Необходимо, чтобы файловая система была NTFS, насколько я в этом понимаю. Может, Filemon какую-то наводку даст. Есть ещё журнал безопасности, куда, по идее может писаться информация о доступе к машине из сети. Правда, по умолчанию в него ничего не пишется
Сообщение от
PavelA
Зверь уже виден, если это не Server 2003.
C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe
Логи нужны для кооректного его удаления.
Windows 2000 SP4
Только в логе AVZ ещё серия похожих путей. И обратите внимание - WINDOWS, а не WINNT, где система на самом деле стоит.
Это терминальный сервер?
Последний раз редактировалось pig; 13.06.2007 в 18:00.
-
-
Junior Member
- Вес репутации
- 62
спасибо, pig, за подробный ответ.
Сообщение от
pig
Скорее всего.
Доступ в эту сеть анонимный или авторизованный? Можно попробовать выложить на расшаренный ресурс приманки и включить аудит обращения к ним. Необходимо, чтобы файловая система была NTFS, насколько я в этом понимаю. Может, Filemon какую-то наводку даст. Есть ещё журнал безопасности, куда, по идее может писаться информация о доступе к машине из сети. Правда, по умолчанию в него ничего не пишется
Windows 2000 SP4
Только в логе AVZ ещё серия похожих путей. И обратите внимание - WINDOWS, а не WINNT, где система на самом деле стоит.
Это терминальный сервер?
Ловлю на живца уже начали, восстановили exe-файлы из бэкапов, правда неизвестно какой давности.
сканирование avz пока не закончилось...
к тому же, эта машина файл-сервер и терминальный сервер.
-
Junior Member
- Вес репутации
- 62
вот логи avz и HijackThis
-
Junior Member
- Вес репутации
- 62
есть какие нибудь варианты?
-
Давайте попробуем такой скрипт:
Код:
begin
BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\System32\updcrl.exe');
BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\System32\ie4uinit.exe');
BC_QrFile('C:\Documents and Settings\golovin_ea\WINDOWS\system32\smss.exe');
BC_QrFile('c:\winnt\temp\aeff5b.exe');
BC_QrFile('c:\winnt\System32\updcrl.exe');
BC_QrFile('c:\winnt\System32\ie4uinit.exe');
BC_QrFile('c:\winnt\system32\smss.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил.
Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
Последний раз редактировалось drongo; 14.06.2007 в 12:27.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
нашел описание вируса в инете, по дходящий к ситуации. 100% что это он пока нет.
W32/Holar.d@MM
http://vil.nai.com/vil/content/v_100168.htm
-
Junior Member
- Вес репутации
- 62
Сообщение от
Bratez
Давайте попробуем такой скрипт:
....
После перезагрузки пришлите карантин согласно приложению 3 правил.
Прикрепите к сообщению файл boot_clr.log из папки с AVZ.
хм.. проблема в том, что это файл-сервер организации и ребутнуть его днем никак не получится.
-
http://www.symantec.com/security_res...624-99&tabid=2
- от Симантека описание. кстати, пишется что Касперский его тоже знает. Нужно искать машину с похожими симптомами.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
проблема в том, что это файл-сервер организации и ребутнуть его днем никак не получится.
Можно сделать такой "финт ушами": уберите из скрипта строчку RebootWindows(true); и выполните его, потом запланируйте перезагрузку с помощью TaskSheduler'a или команды at на ночное время. Утром заберете карантин и лог
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
что то не так в скрипте...
выдает ошибку:
Too many actual parameters в позиции 5:11
-
Сообщение от
xgoodwin
что то не так в скрипте...
выдает ошибку:
Too many actual parameters в позиции 5:11
извиняемся, поправил
-