-
Junior Member
- Вес репутации
- 52
Исчезает содержимое файлов, восстановление невозможно.
Здравствуйте.
Суть проблемы в следующем: у нас в офисе более 20 ПК. Плюс сейчас к нам приезжают в день еще около 20 клиентов со своими компьютерами. Ориентировочно 19.01 с компьютера одной из компьютеров с Алтайского края в нашу сеть был занесен некий вирус, который не был определен антивирусом Dr.Web Security Space версии 5, базы которого постоянно обновляются, а настройки проверки выставлены по-максимуму. В нашей сети вирус проявил себя 20-го - 21-го числа следующим образом: через определенные промежутки времени в произвольном порядке обнуляет размер всех файлов в том числе и системных в расшаренных папках. Dr.Web CureIt! и AVPTool, а также полноценный антивирус Касперского 2010 также ничего не находят. По действию вирус напоминает Email-Worm.VBS.Agent.j 2007 года, но без его характерных симптомов. Он по-видимому также считывает дерево и создает txt-файлы нулевой длины с именами и расширениями найденных файлов, перезаписывая их, т.е. по сути затирает файлы. Файл при этом остается на диске, но в результате имеет нулевую длину. Т.к. сами файлы остаются на месте, исчезает только содержимое, восстановление пропавшей информации физически невозможно (поверьте, - мы пытались). Также вирус по-видимому передается на USB-носителях.
Переписка со специалистами сервисного центра Dr.Web длится с 21.01 и до сих пор ничего не дала. По их рекомендации я потратил сутки на проверку 2-х десятков офисных ПК CureIt`ом, а также утилитами hijackthis, Rootkit Unhooker и GMER, сбор отчетов этих программ и отправку им этих отчетов.
В настоящий момент работа нашей бухгалтерии полностью парализована, т.к. уничтожены базы 1с, и есть серьезная угроза уничтожения архивных копий. Также есть опасность распространения вируса по компьютерам клиентов, с которыми мы работаем. Прошу вашей помощи в поиске и уничтожении вируса.
P.S. Высылаю отчеты с одного из наших ПК, на котором точно сегодня происходило "обнуление" файлов. У меня готовы логи и с остальных 2-х десятков ПК, те, которые требуете вы, и те, которые требовала служба сервиса Dr.Web.
Последний раз редактировалось Дмитрий Титов; 28.01.2010 в 18:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
Нашел на форуме похожее обращение к вам http://virusinfo.info/showthread.php?t=66078 , однако у нас не видно описанных автором файлов.
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Неужели никто ничего сказать не может? С 27-го января вирус себя не проявляет, но отловить его так и не получилось. Dr.Web тоже ничего не нашел и ничего путного не посоветовал. Опасаемся возвращения вируса.
-
логи переделайте с правами администратора ...
-
-
Junior Member
- Вес репутации
- 52
Спасибо за ответ.
Вчера до позднего вечера повторно проверялся тот же ПК, как наиболее пострадавший.
Вход в систему был выполнен из под администратора.
AVZ работает с правами администратора.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4bixx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4ahxx.sys','');
DeleteService('ati4bixx');
DeleteService('ati4ahxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4ahxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4bixx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 52
Выполнил скрипт.
После перезагрузки папка карантина оказалась пустой.
Файлы, указанные в скрипте, не были найдены.
Вот повторные логи. Вход в систему был выполнен из под администратора.
AVZ работает с правами администратора.
-
Junior Member
- Вес репутации
- 52
Только что обнулились расшаренные файлы на 2-х ПК, вирус снова проявил себя.
-
Сообщение от
Дмитрий Титов
обнулились расшаренные файлы
IMHO, надо искать, где зверь живёт, а не где пакостит.
-
-
Junior Member
- Вес репутации
- 52
Ох, да мы ищем, с 21-го числа. Проверяли все без исключения машины как Dr.Web и предложенными их службой техподдержки утилитами (Dr.Web CureIt!, hijackthis, Rootkit Unhooker и GMER), так и антивирусом Касперского (AVPTool) и предложенным здесь AVZ. Только на проверки ушло более 2-х суток. Также одну из пострадавших машин проверял Пандой и НОД32, - ничего. Файлы шарим специально "для приманки", вирус не проявлял себя с 27-го числа.
На всех наших 26-ти машинах стоял Dr.Web Security Space, который ежедневно автоматически обновлялся. Сейчас часть машин отключена от сети и на них ведутся работы по переустановке системы. Из оставшихся в сети машин файлы в расшаренных папках обнулились на 4-х в промежутке от 12:18 до 12:53 по местному времени. При этом файл, находящийся в этих расшаренных папках desktop.ini сохранился без изменений. В момент обнуления на этих машинах уже стоял Kaspersky Internet Security 2010, он тоже ничего не поймал. Что делать?
-
Ваша сеть от интернета надёжно прикрыта? Обновления безопасности на систему все установлены?
Аудит доступа к папке-ловушке включали? Может, в событиях аудита есть зацепка.
-