blogz | Дата: Четверг, 13.10.2016, 23:58 | Сообщение # 1 |
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн
| Работаю в небольшом офисе, есть рабочая лошадка некий средненький комп, ушёл в отпуск на пару недель, вызвали на работу отчёт сварганить, прихожу на работу комп выдаёт окно с ошибкой в файле svchost.exe при выключении о переполнении оперативной памяти. Никто ничего не делал, на работе молчат все как партизаны. Проверил автозагрузку, всё чисто. Установлен NOD32, подозрение на вирус всё равно осталось, проверил весь комп. Инфекции не обнаружено. Поскольку торопился решил через несколько дней посмотреть позднее в реестре, может какой драйвер глючит. Прошло три дня. Вызвали на работу из отпуска снова, сломался принтер. Включил компьютер, NOD32 обновился и внезапно обнаружил в оперативной памяти вирусняк Win32/Corkow.AE.
Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1364) модифицированный Win32/Corkow.AE троянская программа - очищен удалением HOME-C2E0C4F179\User Просканировал антивирусом глубокой проверкой весь компьютер, вроде заразы больше нет.
Вроде всё очистил, ну и хорошо думаю проблема решена. Выключил комп, опять ошибка, включил комп всё нормально загрузилось и снова предупреждение, что в оперативной памяти есть вирусняк и что снова он изолирован антивирусом. Пересмотрел разные пути возможного нахождения, поискал скрытые файлы. Ничего не нашёл. Решил наиболее простыми методами проверить.
Проверил полное сканирование компа последней версией Dr.Web CureIt! и Kaspersky Virus Removal Tool, а также Avira PC Cleaner и Hitman Pro поиск не дал никаких результатов. Ничего в голову не приходило где может быть зараза. В программных инсталяхах валялся портативный Malwarebytes Anti-Malware 2.02 решил проверить используя его.
Через две минуты после сканирования результат. результате сканирования обнаружен зловред - HiJack.LanmanServer
Гадость сидела в данных реєстра
HKLM/System/Currentcontrolset/Services/Lanmanserver/Parameters|ServiceDll
Malwarebytes Anti-Malware запросил перезагрузку, после перезагрузки объект помещён в карантин. При последующих выключениях и включениях компа никаких ошибок не было и сообщений не появлялось. Скриншотов по данной операции к сожалению сохранить не успел. Привёл реальный случай из практики. Возможно кому-то поможет такая информация в будущем.
|
|
| |