Атака на сетевой диск

@SDRVPN · Регистрация: 30.03.2016

Студворк — интернет-сервис помощи студентам

Доброго дня. След. ситуация след. На сетевом диске исчезло несколько папок! не все и появился ярлык ссылающийся
на I:\DeviceConfigManager.vbs (у пользователя диск I как раз и является сетевым). При просмотре (изменить) содержимое след.

dim zwkvezwblcit (в инете не коррелируют в поиске)
dim ...

и т.д.
Что за природа вируса удалил или зашифровал в какую сторону хоть искать.
Спасибо.

@Sandor · 18.10.2017, 16:49

Здравствуйте!

Если нужна помощь в поиске и возможном лечении, выполните правила:
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Если только "поговорить", перенесем в подходящую для этого тему.

@SDRVPN · 18.10.2017, 18:22 **[ТС]**

Сообщение от Sandor

Если только "поговорить", перенесем в подходящую для этого тему.

Разобрались, но пока ничего не трогали. Вирус создаёт папку "_", делает её скрытой и перемещает всё туда (кроме двух трёх, названия папок мед. на русском), инфа вроде цела, на сервере нашли один файл RTF просмотрели - читабельный, офисные разумеется читать нечем.
Непонятен смысл деятельности вируса или вредительского кода, вроде всё на месте, но спрятано. И потом зачем сразу лезть на сетевой диск, возможно за этим стоит человек. Решили выявить пользователя у которого одновременно подключены три сетевых диска, поскольку заразились три отдела. Касперский к стати больше года не обновляется. На файловом его вообще не было, но он похоже и не обнаружил бы.

p.s. сигнатуры пока не могу поскольку от сервера отключена сеть.

@Persk · 19.10.2017, 19:28

Сообщение от SDRVPN

поскольку заразились три отдела. Касперский к стати больше года не обновляется

Кто-то принес флешку с червяком, подключил и поехало.
Для чего нужен антивирь, который год не обновлял антивирусные базы???
Как-то было подобное в одной конторе, там закрытая ЛВС на 4 ПК, без доступа в инет и кто подключил флешку с подобным вирем. Пришлось все ПК выводить из сети и сканить все компы АВЗ, а потом писать скрипт удаления червя, благо все компы были одинаковой конфигурации и скрипт сработал на всех одинаково.

@SDRVPN · 25.10.2017, 18:23 **[ТС]**

Вот информация которую я осознать не могу. Всего было четыре атаки. Первые две при мне, сразу после удаления файлов с вирусом, новый комп произвел те же действия с перемещением файлов в папку "_". Третью атаку устранял мой напарник я был на даче. И всё обошлось. А вот в этот понедельник файлы были удалены вместе с папкой "_" и снова появилась эта папка, но уже пустая. Сейчас просканировал ActiveFileRecovery там три папки "_" две удаленные, и разумеется все файлы в одной из них. Вирус я удалять не стал, дабы если он снова активируется, знал, что уже заражен. Мысли наводят на появление человеческих ручек. Три атаки без фатального исхода, как то странно всё это. Резервное копирование не делалось, разговор был, места нету. Странно вирус удалил сам себя вместе с папками и файлами и снова создал "_" оставив там только себя.

Добавлено через 23 часа 40 минут
Сегодня интересная инфа. Детальный разбор показал, в понедельник "вирус" проявил себя вначале без агрессии создав "_" и спрятав туда все файлы и папки, затем удалил себя по сети и воспроизвел себя по новой но, за волшебной черточкой нет файлов разумеется кроме самого. Еще непонятно почему в папке "нормативная документация" просто удалены (не перемещены, а в той же папке с атрибутом d все файлы до буква р (русская). Кроме того изменился размер исполняемого скрипта. А это значит, что не мог появиться вирус с другой природой, за этим скорее всего стоит человек. За выходные подправил. Интересно Ваше мнение.

@Persk · 26.10.2017, 19:21

Сам вирь, если экзешник положить в сетевую шару распространяться не сможет. Ему нужна команда для запуска, это либо зараженный комп в сети, либо удаленный доступ, либо юзверь, который лично запускает виря в сети.
Проверьте на всех компах планировщик задач.
По удаленке, если есть доступ по RDP, то смените все пароли и просмотрите на сервере, кто мог подключаться, так же необходимо выяснить с ПО для удаленки, возможно кто-то юзает ПО типа радмина, аммиадмин и т.п.
По юзерам, я бы в первую очередь начал с тех у кого есть права админа.
И да версию установленного касперского огласите.

Новые блоги и статьи Все статьи Все блоги /
Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. На мобильном - сканируйте QR-код. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .
Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .

@SDRVPN 1 / 3 / 0 Регистрация: 30.03.2016 Сообщений: 105

	Атака на сетевой диск 18.10.2017, 16:17. Показов 5364. Ответов 5 Метки нет (Все метки) Доброго дня. След. ситуация след. На сетевом диске исчезло несколько папок! не все и появился ярлык ссылающийся на I:\DeviceConfigManager.vbs (у пользователя диск I как раз и является сетевым). При просмотре (изменить) содержимое след. dim zwkvezwblcit (в инете не коррелируют в поиске) dim ... и т.д. Что за природа вируса удалил или зашифровал в какую сторону хоть искать. Спасибо. 0

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,851
	18.10.2017, 16:49
	Здравствуйте! Если нужна помощь в поиске и возможном лечении, выполните правила: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему Если только "поговорить", перенесем в подходящую для этого тему. 0

@SDRVPN 1 / 3 / 0 Регистрация: 30.03.2016 Сообщений: 105
	25.10.2017, 18:23 [ТС]
	Вот информация которую я осознать не могу. Всего было четыре атаки. Первые две при мне, сразу после удаления файлов с вирусом, новый комп произвел те же действия с перемещением файлов в папку "_". Третью атаку устранял мой напарник я был на даче. И всё обошлось. А вот в этот понедельник файлы были удалены вместе с папкой "_" и снова появилась эта папка, но уже пустая. Сейчас просканировал ActiveFileRecovery там три папки "_" две удаленные, и разумеется все файлы в одной из них. Вирус я удалять не стал, дабы если он снова активируется, знал, что уже заражен. Мысли наводят на появление человеческих ручек. Три атаки без фатального исхода, как то странно всё это. Резервное копирование не делалось, разговор был, места нету. Странно вирус удалил сам себя вместе с папками и файлами и снова создал "_" оставив там только себя. Добавлено через 23 часа 40 минут Сегодня интересная инфа. Детальный разбор показал, в понедельник "вирус" проявил себя вначале без агрессии создав "_" и спрятав туда все файлы и папки, затем удалил себя по сети и воспроизвел себя по новой но, за волшебной черточкой нет файлов разумеется кроме самого. Еще непонятно почему в папке "нормативная документация" просто удалены (не перемещены, а в той же папке с атрибутом d все файлы до буква р (русская). Кроме того изменился размер исполняемого скрипта. А это значит, что не мог появиться вирус с другой природой, за этим скорее всего стоит человек. За выходные подправил. Интересно Ваше мнение. 0

@Persk Модератор 8748 / 3373 / 244 Регистрация: 25.10.2010 Сообщений: 13,603
	26.10.2017, 19:21
	Сам вирь, если экзешник положить в сетевую шару распространяться не сможет. Ему нужна команда для запуска, это либо зараженный комп в сети, либо удаленный доступ, либо юзверь, который лично запускает виря в сети. Проверьте на всех компах планировщик задач. По удаленке, если есть доступ по RDP, то смените все пароли и просмотрите на сервере, кто мог подключаться, так же необходимо выяснить с ПО для удаленки, возможно кто-то юзает ПО типа радмина, аммиадмин и т.п. По юзерам, я бы в первую очередь начал с тех у кого есть права админа. И да версию установленного касперского огласите. 0