Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Вирусная пандемия или как закалялась сталь…

Мы живем в самой прекрасной стране, и все остальные нам завидуют – так гласит нам одна из передач транслируемая по телевизору. И только русские люди могут спокойно ничего не делать, зная, что у них в локальной сети тучи вирусов.

Но речь собственно не об этом.

В прошлую пятницу, придя на работу ничто, не предвещало беды. Как обычно, налив чашечку утреннего ароматного кофе, приступил к рутинным ежедневным делам. Но тут случилось непредвиденное: случайно заглянул на сетевой  диск и пришел просто в ужас, все папки превратились в exe файлы. Меня сразу же охватило недоброе предчувствие.

А теперь немного из истории:

До марта месяца 2010 года у нас в компании стоял Kaspersky Total Space Security, но по неведомым мне причинам лицензию отказались продлить. В итоге нам пришлось его «пристрелить». А это не много немало 250 хостов и 25 серваков. Через некоторое  время так же по неведомым для меня причинам у нас появился Symantec Corporate 11 версии. Мы его успешно развернули во всей сети и со временем обнаружили, что сервер антивируса стал показывать столько вирусов в сетке, а она у нас распределенная по нескольким  регионам, что волосы стали шевелиться. В очередной раз сложилось впечатление, что данный антивирус ничего не ловит, либо ловит, но ничего с ними не делает (некоторое время назад, в одной из компаний, где я благополучно трудился  у нас как раз и стоял Symantec Corporate тогда еще 6 версии и на Exchange 2003 у нас постоянно всплывали 10 окошек о том, что сервак буквально кишит вирусняками, но они так и продолжали благополучно всплывать рассылая письма счастья во все концы с нашего сервака), здесь судя по всему произошло тоже самое. Об этой ситуации было незамедлительно доложено руководству, но, к сожалению, а воз и ныне там.

Как говорится: «Пока гром не грянет, мужик не перекрестится» вот он и грянул.

Ну, собственно говоря, после драки кулаками не машут, наступил судный день, пришлось решать проблему.

Для начала снесли Symantec, установили Kaspersky Server (триальную лицензию), тут началось: каспер стал пристреливать экзешники, но они стали появляться снова, стало понятно, что масса компьютеров поражена данным вирусом и они бомбардируют сервак, хорошо, что Каспер показывает с каких адресов, в итоге пришлось отключить с десяток ПК в различных подсетях от сети до излечения, и это все при установленном антивируснике на всех компах.

В итоге после некоторых манипуляций и отключения зараженных компов от сети, ситуация нормализовалась, Каспер нашел 26 пораженных файлов,  но появилась следующая картинка (папки стали скрытыми при том галку скрытый нельзя было никак убрать, и появился autorun.inf , но уже другого содержания). Вот тут Каспер любезно сообщил, что сервер защищен и больше, делать что-либо отказался.

На сервере были видны все папки, но они стояли со статусом скрытые (я затер здесь названия папок):

У пользователей соответственно это выглядело вот так:

Соответственно сам autorun.inf  выглядел вот так:

В инете по запросу slsrv.exe открылось всего 3 ссылки, но там было написано, что это вирус (а это собственно и так понятно) ну и пару вариантов решения. Вот здесь начались наши дальнейшие изыскания:

Пробовали вот это и еще ряд манипуляций с реестром:

1) Пуск —> Выполнить… Пишем regedit и нажимаем «Enter».
2) Находим ключик: HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL — Удаляем параметр CheckedValue в правом окне.
3) Щёлкаем правой кнопкой мыши в этом же окне (справа) и выбраем «создать —> параметр DWORD». Называем его CheckedValue. Cтавим значение «1» (0x00000001) и нажимаем ОК.
4) Заходим в «Сервис» —> «Свойства папки» —> «Вид», находим «Скрытые файлы и папки», отмечаем «Показывать скрытые файлы и папки».

Не помогло…

Пробовали вот это:

http://forum.esetnod32.ru/forum6/topic1187/

Тоже  не помогло.

Далее стали экспериментировать с различными антивирусами AVZ например ничего не показал в принципе. На нем же пробовал запускать различные скрипты типа для излечения, но все тщетно.

Прогнали с для верности еще раз загрузчиком Каспера и Др. веба, но ничего также не было обнаружено.

Далее попробовали прогнать еще  бесплатной утилитой CureIt, здесь выявили интересную особенность: Когда выбираешь просканить локальные диски, ничего не находит, когда выбираешь просканить сетевые диски то показывает вот это:

Находить находит удаляет, но через пару минут файлик появляется снова.

День различных манипуляций результата не принес.

На следующий день с утра появилась новая идея, честно сказать последняя:

Для начала пришлось вернуться к моему любимому Tiny Firewall (в свое время я активно его юзал), установили серверную версию отмониторили все процессы, заблокировали все на наш взгляд подозрительные айпишники. Далее решили еще раз поставить Каспера но уже Антивирус Касперского 2011, просканили в итоге он пристрелил данный autorun.inf.

Появилась возможность сделать скрытые папки видимыми.

В итоге полноценно удалось восстановить работу файл-сервера в субботу к  вечеру (напомню, что упал он в пятницу утром). Вот к чему приводит экономия на антивирусных продуктах.

Всем удачи!

 

16.02.2011 Posted by | antiviruses | 2 комментария