-
Junior Member
- Вес репутации
- 51
Папки вида %name%.scr
В корне дисков стали появляться папки вида:
1. Фотки.scr
2. Я.scr
Имя папки берётся из имён папок зараженной машины, в случаях когда открываешь её расшаренные ресурсы. Антивирус Dr.Web нечего подозрительного не находит.
Папки поддаются ручному удалению, но в последствии снова появляются
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
При попытке прогона скрипта выходит ошибка №1 (1.jpg). При перезапуске AVZ выходит ошибка №2 (2.jpg). Скрины в аттаче. Система Windows 7, AVZ запускается от имени администратора.
При перезагрузке, всё повторяется.
-
А так?
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\Users\admin_d\AppData\Local\Pandion\Application\pandion.exe','');
QuarantineFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys','');
DeleteFile('C:\Users\admin_d\AppData\Local\Temp\Ts5967kj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Теперь скрипт прошёл. Выкладываю логи и карантин.
Инфа о карантине:
Файл сохранён как 100621_132012_virus_4c1f2ecc51d95.zip
Размер файла 270423
MD5 1c6847228d6e815c9ba55ea936e995f6
-
Что сейчас с проблемой? Файлы появляются в расшаренных ресурсах?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сейчас помониторю. Они появляются не моментально. Встречный вопрос: что это за вирус такой и как сеть излечить от него? В идеале хотелось бы исполняющий файлик-таблетка для дальнейшего распространения по домену.
Добавлено через 46 минут
Сейчас глянул... снова появляются. Пока по 1-й в каждом разделе, но дойдёт до 9 помоему.
Появляются на моей машинке, после того как я пробежался по домену по админским шарам
Последний раз редактировалось Wirel; 21.06.2010 в 15:17.
Причина: Добавлено
-
На Вашем компьютере
Сообщение от
thyrex
Файлы появляются в расшаренных ресурсах?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
На моей машине расшаренных ресурсов нет. Папки появляются в корне каждого из разделов
-
Закрывайте административный доступ к дискам
>> Заблокированы настройки системы System Restore
Сами блокировали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Закрывайте административный доступ к дискам
Сами блокировали?
Закрытие административного доступа - не вариант по целому ряду причин.
System Restore заблокирован доменной политикой.
-
Тогда ищите зараженный компьютер в домене, с которого зверь приходит к Вам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Соглашусь лишь с тем, что есть так сказать эпицентр. И я даже догадываюсь где примерно (одна из 11 машин в одном из подразделений), везде стоит корпоративный Др.Веб, ессесно с актуальными базами. Логи я приводил со свой машинки, так как мне проще было это делать у себя на рабочем месте. Факт заражения налицо. Пробовал различные ЛайфСД, КуреИТ, от Кашперовского что-то... толку 0. Отправил запрос Др.Вебу, примерно 24 часа назад, а отвечают они в течении 48-ми часов.
На всех машинах признаки абсолютно одинаковые, т.е. "альфа-самца" не выявить явным образом.
Если идей больше нет, за сим раскланяюсь. Спасибо за помощь. Если что накопаю, обязательно расскажу.
-
Пришлите одну такую папку в zip архиве с паролем virus по ссылке Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 51
Отправил 11 таких папок в архиве с паролем virus
Файл сохранён как 100624_235415_Virus_4c23b7e732f29.zip
Размер файла 1440
MD5 702d31391463b0bb3ad8561939b05bd2
-
Карантин совершенно пустой
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-