Пострадали от IM-Worm.Win32.Chydo.ccq, Trojan.WIn32/Killav и кучки червей.
Здравствуйте уважаемые безопасники.
В сети, около 40 компов, разгулялись троянцы антивирусы переодически натыкаются на:
IM-Worm.Win32.Chydo.ccq,
not-a-virus:HEUR:AdWare.Script.Generic,
HEUR:Trojan.WinLNK.StartPage.ab.
Trojan.WIn32/Killav
Trojan.WIn32/Popupper
Trojan.WIn32/Dynamer!ac
и др.
Проявление в крайне высокой загрузки оперативы и цп процессами svchost и system, появление в папках файлов rar, exe, bat, scr и др.
Компы в основном очень древние, подавляюще WinXP, поэтому со штатными антивирусами и системными обновлениями очень туго, хотя на более мощных отражающей способности KFA и WinDefender, не хватает. Сканирование kvrt, krd, cureit, drveb, avz, malvarebytes, windows defender отлавливает практически только безобидные кряки.
Есть компы которые крайне нежелательно отключать от сети более чем на 2 часа, всю сеть одновременно положить практически нереально.
Помогите, что можно предпринять, высылаю логи по каждому компу.
Комп №34 сервер файлов, на нем основные шары и сегодня пошло заражение авторанами
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) progersa, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Windows Mail\WinMail.exe','');
QuarantineFile('C:\Users\admin\WINDOWS\system32\regsvr32.exe','');
TerminateProcessByName('d:\Общая\Программист\spsession\sp_session.exe');
QuarantineFile('d:\Общая\Программист\spsession\sp_session.exe','');
DeleteFile('d:\Общая\Программист\spsession\sp_session.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SPSession');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пытаюсь отправить карантин, пишет ошибку "Ошибка загрузки. Данный файл уже был загружен"
НА КОМПЕ БОЛЬШАЯ ПРОБЛЕМА:
PS: Досталось же мне увы не лучшее хозяйство.
Из-за кривой организации файлооборота предыдущими админами, настежь расшарен на чтение и запись диск D для группы "ВСЕ", там же в файловом режиме в разных не доконца известных местах хостятся порядка 20 сетевых и около того программ, юзеры же за 15 лет эксплуатации сети устроили в одной из расшаренных для всех папок грандиозную файлопомойку (порядка 200 000 файлов общим объемом под 200 Гб).
КАЮСЬ:
Я не успел все это разгрести и по шаре прошелся описанный зверинец, теперь имеем практически в каждой директории по rar, exe, scr, pif, bat.
Всего на шаре около 330 Гб данных: примерно 300 000 файлов в 15 000 папок. Два дня пытался выудить KRD, в результате долгой проверки (около 10 часов) он находит порядка 13 000 Chydo, но при попытке очистки мертво зависает в среднем примерно на 50й угрозе.
В СВЯЗИ С ЭТИМ ВОПРОС:
Есть ли какой скрипт на AVZ, KRD, PowerShell или еще чем, который циклично обходит все дерево каталогов и удаляет все файлы rar, exe, scr, pif, bat, ini b и другие подозрительные файлы, имена которых совпадают с наименованием конечного каталога?
Сам комп судя по процессам не зацепило, только шары. Попытка натравить политику "запрета записи по маске расширений" привела к краху части захостенных программ (видимо что-то пишут в такие расширения), да и сама служба съела крайне много дефицитного ОЗУ. Поэтому требуется какие-то ручное решение пока не переедем на новый сервер и разгребем эту помойку.
На всякий случай высылаю свежие логи, но там вродь ничего критически опасного.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
С утра замечено что систему все-таки видимо чем-то зацепило - из под всех юзеров пропал интернет
Пинги в основном ходят нормально, но иногда не пробиваются, браузеры и программы не хотят связываться даже с теми сайтами куда ходят пинги.
Хром пишет DNS_PROBE_FINISHED_NO_INTERNET, IE - Не удалось открыть страницу поиска
Перезагрузка системы, очистка, замена DNS, рестарт сетевых подключений не помогает, в hosts чисто.
После выполнения скрипта ничего не изменилось, что это может быть и было ли в логах что про это?
Завтра машине позарез нужен http/https для обновления данных в бухгалтерских базах.