Показано с 1 по 17 из 17.

Папки вида %name%.scr (заявка № 81425)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51

    Exclamation Папки вида %name%.scr

    В корне дисков стали появляться папки вида:
    1. Фотки.scr
    2. Я.scr

    Имя папки берётся из имён папок зараженной машины, в случаях когда открываешь её расшаренные ресурсы. Антивирус Dr.Web нечего подозрительного не находит.

    Папки поддаются ручному удалению, но в последствии снова появляются

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
     QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
     DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51
    При попытке прогона скрипта выходит ошибка №1 (1.jpg). При перезапуске AVZ выходит ошибка №2 (2.jpg). Скрины в аттаче. Система Windows 7, AVZ запускается от имени администратора.

    При перезагрузке, всё повторяется.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А так?

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
     QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
     DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51
    Теперь скрипт прошёл. Выкладываю логи и карантин.

    Инфа о карантине:

    Файл сохранён как 100621_132012_virus_4c1f2ecc51d95.zip
    Размер файла 270423
    MD5 1c6847228d6e815c9ba55ea936e995f6

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что сейчас с проблемой? Файлы появляются в расшаренных ресурсах?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51
    Сейчас помониторю. Они появляются не моментально. Встречный вопрос: что это за вирус такой и как сеть излечить от него? В идеале хотелось бы исполняющий файлик-таблетка для дальнейшего распространения по домену.

    Добавлено через 46 минут

    Сейчас глянул... снова появляются. Пока по 1-й в каждом разделе, но дойдёт до 9 помоему.

    Появляются на моей машинке, после того как я пробежался по домену по админским шарам
    Последний раз редактировалось Wirel; 21.06.2010 в 15:17. Причина: Добавлено

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    На Вашем компьютере
    Цитата Сообщение от thyrex Посмотреть сообщение
    Файлы появляются в расшаренных ресурсах?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51
    На моей машине расшаренных ресурсов нет. Папки появляются в корне каждого из разделов

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Закрывайте административный доступ к дискам

    >> Заблокированы настройки системы System Restore
    Сами блокировали?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Закрывайте административный доступ к дискам

    Сами блокировали?
    Закрытие административного доступа - не вариант по целому ряду причин.

    System Restore заблокирован доменной политикой.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Тогда ищите зараженный компьютер в домене, с которого зверь приходит к Вам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51
    Соглашусь лишь с тем, что есть так сказать эпицентр. И я даже догадываюсь где примерно (одна из 11 машин в одном из подразделений), везде стоит корпоративный Др.Веб, ессесно с актуальными базами. Логи я приводил со свой машинки, так как мне проще было это делать у себя на рабочем месте. Факт заражения налицо. Пробовал различные ЛайфСД, КуреИТ, от Кашперовского что-то... толку 0. Отправил запрос Др.Вебу, примерно 24 часа назад, а отвечают они в течении 48-ми часов.

    На всех машинах признаки абсолютно одинаковые, т.е. "альфа-самца" не выявить явным образом.

    Если идей больше нет, за сим раскланяюсь. Спасибо за помощь. Если что накопаю, обязательно расскажу.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Пришлите одну такую папку в zip архиве с паролем virus по ссылке Прислать запрошенный карантин вверху темы.

  16. #15
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    8
    Вес репутации
    51
    Отправил 11 таких папок в архиве с паролем virus

    Файл сохранён как 100624_235415_Virus_4c23b7e732f29.zip
    Размер файла 1440
    MD5 702d31391463b0bb3ad8561939b05bd2

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Карантин совершенно пустой
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Wirel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Autorun на HDD, файлы вида slurv.exe
      От DmitryOlenin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.05.2011, 15:26
    2. Не изменяются настройки вида папок
      От Pete'n'Cat в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.09.2009, 01:22
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:01
    4. паразитные процессы вида 3E02.tmp
      От Synthetic_God в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.02.2009, 14:15
    5. Файлы вида sp**.sys
      От alex_dt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.11.2008, 17:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01354 seconds with 19 queries