Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/Kryptik.AKDR , Сидит в сети и не умирает...

1 2 След.
RSS
 
Novik
Novik
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.03.2013
Размещено 07.03.2013 14:01:45
Сеть достаточно большая. На некоторых компах появляются задания типа AT*** и сообщение в ноде:
Скрытый текст

Причём на некоторых компах заданий этих дофига. Но видимо NOD блочит троян и не даёт этим заданиям запуститься.
Вопрос, как найти с какой машины идёт раздача вируса?
НА сервере стоит ESET Remote Administrator Console. Но антивирь не на все машины ставился удалённо. Возможно именно из-за этого в журнале угроз на серваке такая угроза не обнаружена.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 07.03.2013 15:29:57
На одном из ПК Сделайте лог uVS
Правильно заданный вопрос - это уже половина ответа
 
Novik
Novik
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.03.2013
Размещено 11.03.2013 10:37:29
http://rghost.ru/44416103
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2013 10:47:36
а можно сообщение Нода раскрыть?
[ Как создать образ автозапуска? ]
 
Novik
Novik
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.03.2013
Размещено 11.03.2013 10:53:38
06.03.2013 9:09:08 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\userinit.exe модифицированный Win32/Kryptik.AKDR троянская программа Ошибка при очистке
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 11.03.2013 10:56:54
последнее оповещение было за 6 число? выполните проверку оперативной памяти и покажите результат
Правильно заданный вопрос - это уже половина ответа
 
Novik
Novik
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.03.2013
Размещено 11.03.2013 11:08:46
Сообщение не на моём компе, а на компе начальника(Его сейчас нет на месте. И только на его компе из всего отдела такая проблема, остальные компы в новом домене). Ещё такое странное дело, в сети у нас 2 домена, старый и новый (ещё не всех пользователей перенесли в новый домен) так вот зараза обнаруживается только на компах старого домена...Ну по крайней мере сообщение появляется только на них.
Мне нужно выяснить с какого компа идёт рассылка. вирус то сам ничего сделать не успевает, его блокируют, но всё равно неприятно. на некоторых компах уже больше сотни заданий типа AT***.
Изменено: Novik - 11.03.2013 11:10:25
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 11.03.2013 11:13:29
а что в задачах прописано? сделайте образ автозапуска с машины, где прописаны подобные задачи

+

добавьте лог журнала угроз с машины, если есть там сообщения антивира об очистке_удалении, того, что по вашим словам блокируется.
http://forum.esetnod32.ru/forum9/topic1408/
Изменено: santy - 11.03.2013 11:24:36
[ Как создать образ автозапуска? ]
 
Novik
Novik
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 07.03.2013
Размещено 12.03.2013 12:30:31
http://rghost.ru/44440729
http://rghost.ru/44440743
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 12.03.2013 13:05:20
лог журнала переделайте, чтобы был не xml файл, а текстовый txt

образ чистый, надо смотреть по погу что удаляет антивир.
Изменено: santy - 12.03.2013 13:09:27
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему