ПК находится в доменной сети, когда и как появился вирус на ПК неизвестно.
Вирус делает скрытыми файлы .exe приписывая им вначале "zw" (пр. zwAVZ.exe), а вместо оригинальных .exe делает .lnk со следующей директорией %windir%\system32\RunDll32.exe shell32.dll,ShellExec_RunDLL ".\HijackThis.exe" (так выглядит путь к HijackThis.exe).
На момент появления вируса стоял сетевой Dr.Web ver. 6.0 с постоянно обновляющимися базами. В устранении проблем участвовали cureIT и AVZ, но увы...находят только последствия, а саму причину не могут.
Все логи сделаны, после удаления сетевого Dr.Web.
Последний раз редактировалось xan08; 20.11.2013 в 09:15.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) xan08, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
съемные носители подключить невозможно, т.к. это люди изредка приносящие на своих флешках документы на печать. Человек сидящий за этим ПК внешние носители не использует.
На данный момент замечено, что вирус стал создавать .scr файлы с именами "Порно, новая папка, ХХХ и др.", а также после лечения помимо .lnk стали создаваться папки .exe (смотреть скрин). Зеленым выделены оригинальные экзешники с припиской zw.
Последний раз редактировалось xan08; 20.11.2013 в 17:06.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: