Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Virus?

Mám otázku. Na několika PC stanicích a SRVR se mi vytváří furt dokola 168K soubory typu *.pif, *.exe, *.cmd

O co go?

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Jo a vytváří autorun.inf [AutoRun] shell\oPen\DeFaulT=1 ;pOQwSWyqxK kjFDchQwnGmoFsmpq wxqgd opEN= v…
Tomashekk00 31.03.2009 14:18
Tomashekk00
odpoj od sítě, odviruj. protože se takto chová i jakýsi rootkit, docela se pobavíš. někdo tu minule…
lední brtník 31.03.2009 14:26
lední brtník
Hele jedná se o SPŠE (dále radši nejmenovaná). Dělá to na všech stanicích a server běží na linuxu. p…
Tomashekk00 31.03.2009 14:39
Tomashekk00
a co jste vyřešili? a zaviroval to kdo? jestliže jsou zavirované adreáře na linuxu - pak asi neběží…
lední brtník 31.03.2009 15:07
lední brtník
zatím jsme nic nevyřešili, oni ani nechtěj vypnout wifi ani nic podobného... Prostě demence. Nemáme…
Tomashekk00 31.03.2009 16:21
Tomashekk00
ok, nechte to na adminovi (tip na sw na odstranění tu dostal*), a nestrkejte do toho svinstva své fl…
lední brtník 31.03.2009 17:22
lední brtník
ok, ještě jednou díky moc
Tomashekk00 31.03.2009 18:05
Tomashekk00
Tak je to bomba, dnes jsem se logl na jeden PC a virus pokračuje dál, ovšem už na jiným levelu. Z ni…
Tomashekk00 01.04.2009 08:17
Tomashekk00
a navíc se těm co nečtou tento thread, a mají doma u sebe nepochopitelně povolen autorum, šíří vir p… poslední
lední brtník 01.04.2009 12:16
lední brtník

Jo a vytváří autorun.inf

[AutoRun]
shell\oPen\DeFaulT=1
;pOQwSWyqxK kjFDchQwnGmoFsmpq wxqgd
opEN= vgtyox.pif
sHeLL\ExPLoRe\ComMaND = vgtyox.pif
;ReHcQRcBoeA qCrfsvpXUAMj
sHelL\oPen\cOmmand =vgtyox.pif
;nagku
shEll\autOPlAy\commAnd= vgtyox.pif
;QHVahqnfvU gsvSVfUyHkdxIce AaxF PtDsntoucBgcjp Auytw

odpoj od sítě, odviruj. protože se takto chová i jakýsi rootkit, docela se pobavíš. někdo tu minule psal že na to zabral combofix.

zakaž autorun ze všech médií, pak odviruj i všechny flashky:

REGEDIT4

; Tyto upravy jdou automaticky odkliknout (soubor ulozit jako *.reg)

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

všechny autorun.inf a falešné adresáře resycled a.j. smaž.

Na několika PC stanicích a SRVR..

jestli srvr má znamenat server, váš admin je idiot.

a co jste vyřešili? a zaviroval to kdo?
jestliže jsou zavirované adreáře na linuxu - pak asi neběží vir na linuxu, ale jsou zavirované sambou nasdílené adresáře ze strany pc stanic.
už to máte odvirované?
autorun máte konečně zakázaný?

jinak je pravdou že server jsem předpokládal ve firmě, školní sítě pracují na obou stranách s tím nejhorším materiálem.

a navíc se těm co nečtou tento thread, a mají doma u sebe nepochopitelně povolen autorum, šíří vir přes flashky na jejich domácí pc.

combofix, sas, process explorer...

jestli jde o rootkit který se takto šířil, vytáhnout disk ze zavirovaného pc, odvirovat v čistém pc, vrátit, vypnout autorum, updatovat antivir...

Zpět do poradny Odpovědět na původní otázku Nahoru