Подозрение на вирус -> Форум на Исходниках.Ру

	Наши проекты: Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту

Здравствуйте, Гость ! [3.142.174.55]

Правила!

Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!

Публикация вирусов/эксплоитов в бинарном виде запрещена!
Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.

Модераторы: Rust

Новое голосование

Подозрение на вирус

^D^ima

Сообщ. #1 , 26.04.12, 10:09

Guru

Профиль · PM

Поощрения: 3 Dgm

Рейтинг (т): 303

Имеется сеть из нескольких ПК. Пользователи работают в домене с правами пользователей, на каждом ПК установлен DrWeb.

С недавних пор на некоторых ПК стал получать следующие сообщения:
user posted image

или такие:
user posted image

Подозреваю вирус.

В файлах логи с 2-х ПК.

Что можно проверить\попробовать?
Прикреплённый файл

1____virusinfo_syscheck.zip (20,16 Кбайт, скачиваний: 142)
Прикреплённый файл

1____hijackthis.zip (2,47 Кбайт, скачиваний: 147)
Прикреплённый файл

2____hijackthis.zip (3,44 Кбайт, скачиваний: 140)
Прикреплённый файл

2____virusinfo_syscheck.zip (20,22 Кбайт, скачиваний: 147)

Сообщение отредактировано: ^D^ima - 26.04.12, 10:12

Gonarh	Сообщ. #2 , 26.04.12, 13:26
Unregistered	Имхо LSASS Exploit, уязвимость сервиса на 445-м порту, емнип в SP3 пофиксено Сообщение отредактировано: Mr. Gonarh - 26.04.12, 13:29

Хрен

Сообщ. #3 , 26.04.12, 14:30

Profi

Профиль · PM

Поощрения: 2 Dgm

Рейтинг (т): 66

Ну lsass ещё со 2-го СП проходить перестал. И насколько я помню, он создавал ошибку сервиса с последующей обязательной перезагрузкой. Хотя, мож и он.
В любом случае, службу Сервер отключи, через неё куча дряни ломится. FTP лучше подними

^D^ima	Сообщ. #4 , 26.04.12, 14:33
Guru Профиль · PM Поощрения: 3 Dgm Рейтинг (т): 303	Да, тот хотфикс на SP2 уже ставиться. По логам что-то видно? Чем ещё что можно помониторить?

Besha	Сообщ. #5 , 26.04.12, 14:49
котэ Профиль · PM Поощрения: 6 Dgm Рейтинг (т): 114	Цитата ^D^ima @ 26.04.12, 14:33 Чем ещё что можно помониторить? Kaspersky Virus Removal Tool

Filka	Сообщ. #6 , 26.04.12, 14:49
Senior Member Профиль · PM Рейтинг (т): 144	Цитата ^D^ima @ 26.04.12, 14:33 Чем ещё что можно помониторить? AutoRuns http://technet.microsoft.com/ru-ru/sysinternals/bb963902

^D^ima	Сообщ. #7 , 27.04.12, 14:14
Guru Профиль · PM Поощрения: 3 Dgm Рейтинг (т): 303	Каспер ничего не нашел

^D^ima	Сообщ. #8 , 03.05.12, 06:55
Guru Профиль · PM Поощрения: 3 Dgm Рейтинг (т): 303	KIDO подхватил, б-ть

0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)

0 пользователей:

[ Script execution time: 0,0237 ] [ 17 queries used ] [ Generated: 3.05.24, 10:26 GMT ]