Maxik
23.12.2011, 09:41
Доброго времени суток!!!
Работаю эникейщиком в одном из ВУЗов... в общем случился казус...
Заразились какой то падлой которая все фаилы на флешках делает скрытыми и создает вместо них экзешники с названиями файлов... (внешний вид значков при этом разный папка выглядит как папка, а вордовсие доки выглядят как документы тхт)... скан систем и флешек вроде как находит трояна и убивает "падлу"... файлы вроде бы тоже легко восстанавливаются при помощи небезысвестного батника... при этом в корне флешек обнаруживаются интересности в виде файлов porn.exe и sexy.exe имеющих внешний вид папок... плюс к тому обнаруживается файл x.mpg весящий ноль байт(после лечения) который имеет скрытое расширение .ехе... при тырке в любой из этих или созданных "падлой" экзешников содается неубиваемый средствами системы процесс активно долбящийся в инет причем каждый по разному адресу и порту...
В итоге 2 дней активног юзания гугля применены следующие меры:
1) на флешках созданы свои чистые автораны (с атрибутами неубиваемости)
2)отключена автозагрузка всех устройств путем редактирования веток реестра
3) призведены меры по поиску червя с помощью malwarebytes с крайними обновами которые вроде как бы находит "хрень" в реестре винды и убивает её
4) проведены полные сканы системы Dr.Web Security Space7(лицензия,крайние обновы)
5) проведен скан системы с помщью avp tool от каспера который нашел трояна и определил его сигнатуру (при просмотре сигнатуры выяснилось что сигнатура свежая от 13 декабря сего года) но сделать с ним ничего не смог кричит что файл защищен паролем идите лесом..
6) проведен скан системы cureitом (крайним на момент написания) из под безопасного режима который ничего не дал...
7) выполнены скрипты AVZ за №№ 6 и 13... выполнены успешно и нифига не нашедшие..
8) вкатан в систему "Зоркий глаз" крайний то бишь сентябрьский(с офф сайта) который не видит подозрительных авторанов...
9) манагер процессов ANVIR грит что процесс создавемый любым из экзешников подозрительный при попытке убить его сам отваливается с ошибкой...
10) в качестве эксперимента на НОВОЙ !!! флешке и на заведомо чистой машине(под Ubuntu) создана папочка с атрибутами только на чтение ... она тоже стала скрытой и появился экзешник...
10 выше приведеных пунктов производились в разной последовательности на 5 идентичных машинах
в итоге имеем 42 потенциально зараженные машины (круговорот флешек в природе) + порядка 60 флеш накопителй (также вероятно зараженых), злой коллектив, неадекватное начальство и уже НИЧЕГО не понимающего во всем происходящем аникейщека (одмином назваться при таком раскладе язык не поворочивается)...
да чуть не забыл... винда везде ХП с третьим сервис паком, антивирус лицуха Dr.Web Security Space 7....
что делать не знаю жду умного совета или решения проблемы...
Работаю эникейщиком в одном из ВУЗов... в общем случился казус...
Заразились какой то падлой которая все фаилы на флешках делает скрытыми и создает вместо них экзешники с названиями файлов... (внешний вид значков при этом разный папка выглядит как папка, а вордовсие доки выглядят как документы тхт)... скан систем и флешек вроде как находит трояна и убивает "падлу"... файлы вроде бы тоже легко восстанавливаются при помощи небезысвестного батника... при этом в корне флешек обнаруживаются интересности в виде файлов porn.exe и sexy.exe имеющих внешний вид папок... плюс к тому обнаруживается файл x.mpg весящий ноль байт(после лечения) который имеет скрытое расширение .ехе... при тырке в любой из этих или созданных "падлой" экзешников содается неубиваемый средствами системы процесс активно долбящийся в инет причем каждый по разному адресу и порту...
В итоге 2 дней активног юзания гугля применены следующие меры:
1) на флешках созданы свои чистые автораны (с атрибутами неубиваемости)
2)отключена автозагрузка всех устройств путем редактирования веток реестра
3) призведены меры по поиску червя с помощью malwarebytes с крайними обновами которые вроде как бы находит "хрень" в реестре винды и убивает её
4) проведены полные сканы системы Dr.Web Security Space7(лицензия,крайние обновы)
5) проведен скан системы с помщью avp tool от каспера который нашел трояна и определил его сигнатуру (при просмотре сигнатуры выяснилось что сигнатура свежая от 13 декабря сего года) но сделать с ним ничего не смог кричит что файл защищен паролем идите лесом..
6) проведен скан системы cureitом (крайним на момент написания) из под безопасного режима который ничего не дал...
7) выполнены скрипты AVZ за №№ 6 и 13... выполнены успешно и нифига не нашедшие..
8) вкатан в систему "Зоркий глаз" крайний то бишь сентябрьский(с офф сайта) который не видит подозрительных авторанов...
9) манагер процессов ANVIR грит что процесс создавемый любым из экзешников подозрительный при попытке убить его сам отваливается с ошибкой...
10) в качестве эксперимента на НОВОЙ !!! флешке и на заведомо чистой машине(под Ubuntu) создана папочка с атрибутами только на чтение ... она тоже стала скрытой и появился экзешник...
10 выше приведеных пунктов производились в разной последовательности на 5 идентичных машинах
в итоге имеем 42 потенциально зараженные машины (круговорот флешек в природе) + порядка 60 флеш накопителй (также вероятно зараженых), злой коллектив, неадекватное начальство и уже НИЧЕГО не понимающего во всем происходящем аникейщека (одмином назваться при таком раскладе язык не поворочивается)...
да чуть не забыл... винда везде ХП с третьим сервис паком, антивирус лицуха Dr.Web Security Space 7....
что делать не знаю жду умного совета или решения проблемы...