Добрый день!
И вновь один из компьютеров в сети словил заразу.
Не так давно предприятие перешло с Trend Office Scan на DrWeb.
И одна из машин словила вирус с блокировочным экраном (с просьбой отправить смс). Удаленным доступом удалил подозрительный процесс.
По названию процесса нашел файл вируса на компьютере и с помощью AVZ скопировал в карантин. Предварительно проверил файлы через virustotal, где и взял название заразы по Касперскому.
Собрал логи для проверки. Действий по удалению подозрительных файлов не предпринимал. Прошу помощи хэлперов.
Последний раз редактировалось CandyMAN; 23.06.2009 в 08:49.
Причина: Добавил карантин
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
День добрый.
Откройте AVZ - "Файл" - "Мастер поиска и устранения проблем" - запустите поиск и исправьте...
>> Нарушение ассоциации SCR файлов
>> Заблокированы настройки системы System Restore
Далее Отключите восстановление системы!!!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\DWRCST.exe','');
QuarantineFile('C:\Documents and Settings\skomorokhova_ov\Application Data\iurqy.exe','');
DeleteFile('C:\Documents and Settings\skomorokhova_ov\Application Data\iurqy.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы
Повторите логи virusinfo_syscheck.zip и hijackthis.log.
Это файл программы удаленного доступа DameWare Utilites.
Она нужна и здорова. Но с карантином подготовлю вам.
QuarantineFile('C:\Documents and Settings\skomorokhova_ov\Application Data\iurqy.exe','');
Этот файл уже отправлен с первым карантином.
Я конечно выполню то, что Вы написали.
Но логи смогу выполнить только к завтрашнему дню. Человек работать надо. План у нее. А проверка идет порядка 4-5 часов ...
Далее Отключите восстановление системы!!!
А на Win 2000 разве есть?
Добавлено через 5 часов 7 минут
Карантин:
Файл сохранён как 090623_162431_virus_4a40c97f3e183.zip
Размер файла 64129
MD5 f89d8441310a94785ceb96189ed7040c
AVZ поставлен на сбор информации.
Последний раз редактировалось CandyMAN; 23.06.2009 в 16:25.
Причина: Добавлено
Это ассоциации созданы программой Autodesk AutoCAD. Их отключение не имеет смысла ...
Не исправляйте.
Это файл программы удаленного доступа DameWare Utilites.
Она нужна и здорова. Но с карантином подготовлю вам.
Повторно не надо было ..
Я конечно выполню то, что Вы написали.
Но логи смогу выполнить только к завтрашнему дню. Человек работать надо. План у нее. А проверка идет порядка 4-5 часов ...
Повторно можно выполнять логи начиная с пункта 2, что существенно сократит время.
А на Win 2000 разве есть?
Нет
Ответ по карантину:
Код:
expinst.exe_
Вредоносный код в файле не обнаружен.
iurqy.exe_, xunqhz.exe_ - Trojan-Ransom.Win32.SMSer.dm
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: