Virus? - poradna.net

Mám otázku. Na několika PC stanicích a SRVR se mi vytváří furt dokola 168K soubory typu *.pif, *.exe, *.cmd

O co go?

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Jo a vytváří autorun.inf [AutoRun] shell\oPen\DeFaulT=1 ;pOQwSWyqxK kjFDchQwnGmoFsmpq wxqgd opEN= v… Tomashekk00 31.03.2009 14:18	Tomashekk00	31.03.2009 14:18
odpoj od sítě, odviruj. protože se takto chová i jakýsi rootkit, docela se pobavíš. někdo tu minule… lední brtník 31.03.2009 14:26	lední brtník	31.03.2009 14:26
Hele jedná se o SPŠE (dále radši nejmenovaná). Dělá to na všech stanicích a server běží na linuxu. p… Tomashekk00 31.03.2009 14:39	Tomashekk00	31.03.2009 14:39
a co jste vyřešili? a zaviroval to kdo? jestliže jsou zavirované adreáře na linuxu - pak asi neběží… lední brtník 31.03.2009 15:07	lední brtník	31.03.2009 15:07
zatím jsme nic nevyřešili, oni ani nechtěj vypnout wifi ani nic podobného... Prostě demence. Nemáme… Tomashekk00 31.03.2009 16:21	Tomashekk00	31.03.2009 16:21
ok, nechte to na adminovi (tip na sw na odstranění tu dostal*), a nestrkejte do toho svinstva své fl… lední brtník 31.03.2009 17:22	lední brtník	31.03.2009 17:22
ok, ještě jednou díky moc Tomashekk00 31.03.2009 18:05	Tomashekk00	31.03.2009 18:05
Tak je to bomba, dnes jsem se logl na jeden PC a virus pokračuje dál, ovšem už na jiným levelu. Z ni… Tomashekk00 01.04.2009 08:17	Tomashekk00	01.04.2009 08:17
a navíc se těm co nečtou tento thread, a mají doma u sebe nepochopitelně povolen autorum, šíří vir p… poslední lední brtník 01.04.2009 12:16	lední brtník	01.04.2009 12:16

Jo a vytváří autorun.inf

[AutoRun]
shell\oPen\DeFaulT=1
;pOQwSWyqxK kjFDchQwnGmoFsmpq wxqgd
opEN= vgtyox.pif
sHeLL\ExPLoRe\ComMaND = vgtyox.pif
;ReHcQRcBoeA qCrfsvpXUAMj
sHelL\oPen\cOmmand =vgtyox.pif
;nagku
shEll\autOPlAy\commAnd= vgtyox.pif
;QHVahqnfvU gsvSVfUyHkdxIce AaxF PtDsntoucBgcjp Auytw

odpoj od sítě, odviruj. protože se takto chová i jakýsi rootkit, docela se pobavíš. někdo tu minule psal že na to zabral combofix.

zakaž autorun ze všech médií, pak odviruj i všechny flashky:

REGEDIT4

; Tyto upravy jdou automaticky odkliknout (soubor ulozit jako *.reg)

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

všechny autorun.inf a falešné adresáře resycled a.j. smaž.

Na několika PC stanicích a SRVR..

jestli srvr má znamenat server, váš admin je idiot.

Hele jedná se o SPŠE (dále radši nejmenovaná). Dělá to na všech stanicích a server běží na linuxu. profesoři si už totiž neví rady tak to tu řešíme mi (studenti)

a co jste vyřešili? a zaviroval to kdo?
jestliže jsou zavirované adreáře na linuxu - pak asi neběží vir na linuxu, ale jsou zavirované sambou nasdílené adresáře ze strany pc stanic.
už to máte odvirované?
autorun máte konečně zakázaný?

jinak je pravdou že server jsem předpokládal ve firmě, školní sítě pracují na obou stranách s tím nejhorším materiálem.

zatím jsme nic nevyřešili, oni ani nechtěj vypnout wifi ani nic podobného... Prostě demence.
Nemáme to odvirované, máme na to vždy jen naše technické předměty (fakt by se z toho jeden p....)

ok, nechte to na adminovi (tip na sw na odstranění tu dostal*), a nestrkejte do toho svinstva své flashky.

*) samozřejmě labužníkům, pro které je antispyware typu combofix pod jejich úroveň, nebude nikdo bránit vyřádit se s process explorerem (nebo upm, apod).

ok, ještě jednou díky moc

Tak je to bomba, dnes jsem se logl na jeden PC a virus pokračuje dál, ovšem už na jiným levelu. Z ničeho nic mám vytížení CPU na 100% A viníky jsou 3 procesy (ovšem systémové) a to je setup.exe a msiexec.exe.

a navíc se těm co nečtou tento thread, a mají doma u sebe nepochopitelně povolen autorum, šíří vir přes flashky na jejich domácí pc.

combofix, sas, process explorer...

jestli jde o rootkit který se takto šířil, vytáhnout disk ze zavirovaného pc, odvirovat v čistém pc, vrátit, vypnout autorum, updatovat antivir...

Zpět do poradny Odpovědět na původní otázku Nahoru