Показано с 1 по 20 из 20.

в расшаренных папках появляются файлы kht/khv (заявка № 56243)

  1. #1
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54

    Question в расшаренных папках появляются файлы kht/khv

    в расшаренных на запись папках постоянно появляются скрытые файлы с именами типа - kht, khv и екзешники с названиями типа - lhclgr.exe, sbqfuf.exe. на екзешники аваст иногда ругается, иногда нет. когда ругается - называет всегда по разному, то скриптом АвтоИт, то трояном, то червем.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\temp\nsy6.tmp\registry.dll','');
     QuarantineFile('C:\temp\nsy6.tmp\newadvsplash.dll','');
     QuarantineFile('c:\program files\webmoney agent\wmagent.exe','');
     RebootWindows(false);
    end.
    Загрузите карантин согласно приложению №3 правил.

    Тут можно посоветовать только одно - не расшаривать на запись.

  4. #3
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    не расшаривать на запись не получится, ибо сеть и на этой машине самые большие винты, которые используются как сетевое хранилище.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Перечитайте ещё раз правила. Карантин в теме выкладывать нельзя.

  6. #5
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    дико извиняюсь. во всем виновата спешка. больше не повторится

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\temp\nsy6.tmp\newadvsplash.dll');
     DeleteFile('C:\temp\nsy6.tmp\registry.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     ExecuteWizard('TSW', 1, 1, true);
     ExecuteWizard('BT', 1, 1, true);
     RebootWindows(false);
    end.
    Повторите логи.

    Необходимо запретить запуск исполняемых файлов из расшареных папок. Это возможно? http://www.diwaxx.ru/win/soft-policies.php

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А еще поискать в сети компьтер (компьютеры), зараженные, вероятнее всего, Packed.Win32.Clone.bj (по классификации ЛК)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    дело в том что файлы 'C:\temp\nsy6.tmp\newadvsplash.dll' 'C:\temp\nsy6.tmp\registry.dll' создаются портэйбл версией файрФокса, и эта сборка ФФ на 99% не инфицирована, так как она была и на другой машине, на которой тоже были расшарены на запись папки, но проблем не было.

    политики безопасности на расшареные папки выставили.

    на момент заражения, да и на текущий, в сети было всего две машины. по факту заражения, вторую машину отключили от сети и прогнали на ней проверку Dr. Web CureIt!, AVPTool и AVZ "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". ничего подозрительного обнаружено не было

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Тогда все нормально, я принял ошибочно эти файлы за вредоносные (маленький размер + расположение + дата создания и факт того, что они не попали в карантин). Проведите полную проверку куритом либо АВПтулом, может они чего найдут, в логах активного заражения не видно.

    P.S.: Аваст не самый лучший антивирус.

  11. #10
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    полная проверка подразумевает проверку всех дисков? просто сканить террабайт видео как то не очень хочется.

    зы. а какой лучший бесплатный антивирус? авира задалбывает всплывающим окном в фри версии.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от vivienna Посмотреть сообщение
    зы. а какой лучший бесплатный антивирус? авира задалбывает всплывающим окном в фри версии.
    Антивирус это сервис, он не может быть бесплатным по определению. Зачем сканировать видео? В настройках поставьте только исполняемые файлы и дело пойдет быстрее, только аваст выключите.

  13. #12
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    после полного сканирования курИт сказал следующее -

    z15[1].exe;C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8PE34T2J;BackDoor.IRC.Letmein.13 ;Удален.;
    53.scr;C:\WINDOWS\system32;BackDoor.IRC.Letmein.13 ;Удален.;
    73.scr;C:\WINDOWS\system32;BackDoor.IRC.Letmein.13 ;Удален.;
    Project1.exe;J:\projects\SKINS\dert;Trojan.Fakeale rt.origin;Неизлечим.Удален.;
    rgovhs.exe;Z:\#ntli_backup;Win32.HLLW.Autohit.3438 ;Неизлечим.Удален.;
    rgovhs.exe;Z:\clips;Win32.HLLW.Autohit.3438;Неизле чим.Удален.;
    WPA_Kill.exe;Z:\install\os\activation_win_xp_sp3;T ool.Wpakill.2;;
    rgovhs.exe;Z:\musik;Win32.HLLW.Autohit.3438;Неизле чим.Удален.;
    rgovhs.exe;Z:\verstka;Win32.HLLW.Autohit.3438;Неиз лечим.Удален.;


    те которые "Autohit" это и есть появляющиеся в расшареных папках.
    но как бы ничего не изменилось - с утра снова во всех расшареных они есть.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Что вы ищите на своей системе? Нужно искать заразу на других компьютерах в сети...

  15. #14
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    Цитата Сообщение от Гриша Посмотреть сообщение
    Что вы ищите на своей системе? Нужно искать заразу на других компьютерах в сети...
    дело в том что при отключении от сети этой машины, файлы все равно на ней появляются.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    На флешке, значит, приносите заразу.

  17. #16
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    блин. давайте локализуем проблему.
    проблема в том, что в расшареных папка появляются файлы.
    судя по логам - машина не инфицирована. значит эти файлы появляются извне. но если ее отключить машину от сети и от инета - файлы все равно появляются.
    отсюда вывод - инфицирована именно эта машина. просто инфицирована как то хитро.
    я не против отключить машину от сети, от инета, поставить на нее какую нибудь прогу, которая будет следить за папкой и при попытке писать в нее, будет перехватывать того, кто пишет. (это предложение было написано в качестве примера. я не знаю возможно ли это. но мне кажется что есть пути отлова того кто пишет)

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Компьютер "инфицирован" Microsoft Windows. Надёжный антивирус и правильное администрирование позволяют держать эту "заразу" под контролем.
    Установите надежные пароли на учетные записи пользователей с правами администратора.
    Установите обновления безопасности на Windows.
    Смотрите на дату создания файлов kht/khv, кто их владелец.
    Утилита для слежения за файловыми операциями: http://technet.microsoft.com/ru-ru/s.../bb896642.aspx или http://technet.microsoft.com/ru-ru/s.../bb896645.aspx

  19. #18
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    не совсем понимаю. не винда же по папкам раскаладывает всякие виряки.

    правой кнопкой по файлу дает две вкладки - общие и сводка. в общих только чтение и скрытый, дата создания - 5 октября 2009 г., 19:39:36. в сводке - все пусто.

  20. #19
    Junior Member Репутация
    Регистрация
    13.07.2009
    Сообщений
    16
    Вес репутации
    54
    процессМонитор отловил момент записи -

    12:27:40,7782855 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
    12:27:40,7822862 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
    12:27:40,9074310 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
    12:27:40,9159452 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
    12:27:40,9230128 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
    12:27:40,9532576 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new SUCCESS Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
    12:27:40,9615593 Explorer.EXE 2568 NotifyChangeDirectory Z:\_new Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME
    12:27:42,4577881 Explorer.EXE 2568 QueryOpen Z:\_new SUCCESS CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 12:27:41, LastWriteTime: 06.10.2009 12:27:40, ChangeTime: 06.10.2009 12:27:40, AllocationSize: 0, EndOfFile: 0, FileAttributes: D


    но мне это ничего не говорит. может вам скажет?

    Добавлено через 2 часа 8 минут

    немного расширеный лог процуссМонитора -


    13:58:58,5046541 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Execute/Traverse, Disposition: Open, Options: Directory, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a, OpenResult: Opened 0.0000402
    13:58:58,5078478 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000758
    13:58:58,5079427 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryBasicInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 12:47:36, ChangeTime: 06.10.2009 12:47:36, FileAttributes: D 0.0000032 Read Metadata
    13:58:58,5079525 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000137
    13:58:58,5079739 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000043
    13:58:58,5094569 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000305
    13:58:58,5095210 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000079
    13:58:58,5095329 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000042
    13:58:58,5126890 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000332
    13:58:58,5127450 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000084
    13:58:58,5127574 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000046
    13:58:58,5157068 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000288
    13:58:58,5157557 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000079
    13:58:58,5157675 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000041
    13:58:58,5186715 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000283
    13:58:58,5187196 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000078
    13:58:58,5187313 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000039
    13:58:58,5218589 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000294
    13:58:58,5219086 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000080
    13:58:58,5219204 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000041
    13:58:58,5270950 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000299
    13:58:58,5271458 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000079
    13:58:58,5271576 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000042
    13:58:58,5294506 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0097965 Read Metadata
    13:58:58,5324054 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Read Attributes, Synchronize, Disposition: Open, Options: Directory, Complete If Oplocked, Attributes: DN, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000352
    13:58:58,5324510 System 4 FASTIO_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryNetworkOpenInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 01.01.1601 3:00:00, EndOfFile: 01.01.1601 3:00:00, FileAttributes: D 0.0000019 Read Metadata
    13:58:58,5324567 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryEaInformationFile, EaSize: 98 0.0000029 Read Metadata
    13:58:58,5324653 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryStreamInformationFile 0.0000044 Read Metadata
    13:58:58,5324747 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryAttributeTagFile, Attributes: D, ReparseTag: 0x0 0.0000024 Read Metadata
    13:58:58,5324824 System 4 IRP_MJ_QUERY_SECURITY Z:\_new BUFFER OVERFLOW Information: Owner, Group, DACL, SACL 0.0000022 Read Metadata
    13:58:58,5324900 System 4 IRP_MJ_QUERY_SECURITY Z:\_new SUCCESS Information: Owner, Group, DACL, SACL 0.0000018 Read Metadata
    13:58:58,5337248 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryFileInternalInformationFile, IndexNumber: 0x3000000019925 0.0000038 Read Metadata
    13:58:58,5350961 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000667
    13:58:58,5351872 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000024 Read Metadata
    13:58:58,5351961 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000083
    13:58:58,5352083 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000044
    13:58:58,5364609 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000108
    13:58:58,5364795 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000054
    13:58:58,5378473 System 4 IRP_MJ_QUERY_VOLUME_INFORMATION Z:\_new SUCCESS Type: QueryAttributeInformationVolume, FileSystemAttributes: Case Preserved, Case Sensitive, Unicode, ACLs, Compression, Named Streams, EFS, Object IDs, Reparse Points, Sparse Files, Quotas, MaximumComponentNameLength: 255, FileSystemName: NTFS 0.0000041
    13:58:58,5392705 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0658307 Read Metadata
    13:58:58,6051294 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0107725 Read Metadata
    13:58:58,6128827 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000308
    13:58:58,6129375 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000022 Read Metadata
    13:58:58,6129464 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000080
    13:58:58,6129583 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000044
    13:58:58,6159214 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0062914 Read Metadata
    13:58:58,6191236 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000375
    13:58:58,6192037 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000021 Read Metadata
    13:58:58,6192123 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000081
    13:58:58,6192243 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000045
    13:58:58,6222361 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0152037 Read Metadata
    13:58:58,6374680 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME 0.0117308 Read Metadata
    13:58:58,6403282 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Read Attributes, Synchronize, Disposition: Open, Options: Directory, Complete If Oplocked, Attributes: DN, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000321
    13:58:58,6403704 System 4 FASTIO_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryNetworkOpenInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 01.01.1601 3:00:00, EndOfFile: 01.01.1601 3:00:00, FileAttributes: D 0.0000018 Read Metadata
    13:58:58,6403761 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryEaInformationFile, EaSize: 98 0.0000026 Read Metadata
    13:58:58,6403844 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryStreamInformationFile 0.0000039 Read Metadata
    13:58:58,6403932 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryAttributeTagFile, Attributes: D, ReparseTag: 0x0 0.0000025 Read Metadata
    13:58:58,6404009 System 4 IRP_MJ_QUERY_SECURITY Z:\_new BUFFER OVERFLOW Information: Owner, Group, DACL, SACL 0.0000019 Read Metadata
    13:58:58,6404083 System 4 IRP_MJ_QUERY_SECURITY Z:\_new SUCCESS Information: Owner, Group, DACL, SACL 0.0000016 Read Metadata
    13:58:58,6418378 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000343
    13:58:58,6418990 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000026 Read Metadata
    13:58:58,6419089 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000097
    13:58:58,6419231 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000051
    13:58:58,6432342 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000105
    13:58:58,6432513 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000049
    13:58:58,6450028 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000279
    13:58:58,6450531 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000022 Read Metadata
    13:58:58,6450613 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000080
    13:58:58,6450731 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000039
    13:58:58,6492178 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new Type: NotifyChangeDirectory, Filter: FILE_NOTIFY_CHANGE_FILE_NAME, FILE_NOTIFY_CHANGE_DIR_NAME Read Metadata
    13:58:58,6540342 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Read Attributes, Synchronize, Disposition: Open, Options: Directory, Complete If Oplocked, Attributes: DN, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000300
    13:58:58,6540733 System 4 FASTIO_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryNetworkOpenInformationFile, CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:58, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 01.01.1601 3:00:00, EndOfFile: 01.01.1601 3:00:00, FileAttributes: D 0.0000017 Read Metadata
    13:58:58,6540787 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryEaInformationFile, EaSize: 98 0.0000027 Read Metadata
    13:58:58,6540868 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryStreamInformationFile 0.0000039 Read Metadata
    13:58:58,6540955 System 4 IRP_MJ_QUERY_INFORMATION Z:\_new SUCCESS Type: QueryAttributeTagFile, Attributes: D, ReparseTag: 0x0 0.0000023 Read Metadata
    13:58:58,6541028 System 4 IRP_MJ_QUERY_SECURITY Z:\_new BUFFER OVERFLOW Information: Owner, Group, DACL, SACL 0.0000018 Read Metadata
    13:58:58,6541100 System 4 IRP_MJ_QUERY_SECURITY Z:\_new SUCCESS Information: Owner, Group, DACL, SACL 0.0000016 Read Metadata
    13:58:58,6555655 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, Impersonating: SHNAPS_PC\Гость, OpenResult: Opened 0.0000341
    13:58:58,6556268 System 4 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000026 Read Metadata
    13:58:58,6556371 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000138
    13:58:58,6556548 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000044
    13:58:58,6569138 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000108
    13:58:58,6569319 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000049
    13:59:00,1342259 Explorer.EXE 2568 FASTIO_NETWORK_QUERY_OPEN Z:\_new SUCCESS CreationTime: 08.08.2009 21:58:13, LastAccessTime: 06.10.2009 13:58:59, LastWriteTime: 06.10.2009 13:58:58, ChangeTime: 06.10.2009 13:58:58, AllocationSize: 0, EndOfFile: 0, FileAttributes: D 0.0000071
    13:59:00,1344054 Explorer.EXE 2568 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a, OpenResult: Opened 0.0000382
    13:59:00,1392149 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new SUCCESS Type: QueryDirectory, 1: .., 2: Beeline_XP.exe, 3: bottom.html, 4: bottom2.html, 5: Denwer3_Base_2008-01-13_a2.2.4_p5.2.4_m5.0.45_pma2.6.1.exe, 6: ie6.css, 7: jwmxpt.exe, 8: kht 0.0000203 Read Metadata
    13:59:00,1392685 Explorer.EXE 2568 IRP_MJ_DIRECTORY_CONTROL Z:\_new NO MORE FILES Type: QueryDirectory 0.0000028 Read Metadata
    13:59:00,1392812 Explorer.EXE 2568 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000155
    13:59:00,1393011 Explorer.EXE 2568 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000076
    13:59:10,3477644 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000176
    13:59:10,3477876 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000070
    13:59:27,0374295 System 4 IRP_MJ_WRITE Z:\_new SUCCESS Offset: 0, Length: 4 096, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O 0.0002930 Write
    14:11:01,7916032 System 4 IRP_MJ_CREATE Z:\_new SUCCESS Desired Access: Execute/Traverse, Disposition: Open, Options: Directory, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a, OpenResult: Opened 0.0000360
    14:11:10,9240152 System 4 IRP_MJ_CLEANUP Z:\_new SUCCESS 0.0000204
    14:11:10,9240455 System 4 IRP_MJ_CLOSE Z:\_new SUCCESS 0.0000070
    14:40:19,9665373 System 4 IRP_MJ_WRITE Z:\_new SUCCESS Offset: 0, Length: 4 096, I/O Flags: Non-cached, Paging I/O, Synchronous Paging I/O 0.0001839 Write

    Добавлено через 2 минуты

    странно. интересный фрагмент лога - "Impersonating: SHNAPS_PC\Гость". но учетная запись "гость" отключена

    Добавлено через 5 часов 37 минут

    в администрирование-управлениеКомпутером-учетныеЗаписи была обнаружена учетная запись гость во включеном состоянии. была жестоко отключена. появление файлов прекратилось.

    но это не снимает вопрос - откуда они там появлялись?
    кто то ведь их писал раз в час.
    Последний раз редактировалось vivienna; 06.10.2009 в 21:26. Причина: Добавлено

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) vivienna, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Файлы lnk и exe в расшаренных папках
      От Woozya в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.09.2011, 23:40
    2. Ответов: 6
      Последнее сообщение: 10.09.2011, 22:50
    3. Ответов: 6
      Последнее сообщение: 16.09.2009, 22:17
    4. Ответов: 3
      Последнее сообщение: 14.09.2009, 18:50
    5. Ответов: 2
      Последнее сообщение: 14.09.2009, 15:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01177 seconds with 19 queries