Worm:Win32/Renocide.GenC, как эта пакость пролазит? Опции

[Stroh]

Повадилось на расшаренном диске время от времени появляться тройка файлов - exe-шник с псевдослучайным именем, авторан и флаг нулевой длины с трехбуквенным именем. Все - как водится скрытые, системные... Дефендер говорит, что это сабж - Worm:Win32/Renocide.GenC.

Так как к диску обращается несколько тазиков - проверил все, все чистые, не заражены. Проверял как антивирусами, так и по признакам заражения, опубликованным у мелкомягких. Все машинки - чистые.

Сделал несколько шар, к каждой из которых подключил только по одному тазику, вычислил тот, который раскладывает. Проверил его еще раз - ничего. Поднял из бекапа, сделанного за полгода до первого случая - ничего не изменилось: в нерегулярные промежутки времени на той же шаре появляются те же три файла, только имя exe-шника меняется. Может появляться два раза в день, бывают перерывы и до месяца.

Тазик постоянно смотрит в нет хромом и оперой, сидит за двумя натами - роутера и вмваревским.

Кто-нибудь встречался с таким? Откуда оно ползет?

[Koka-ftp]

вычислил тот, который раскладывает.

скорей всего таз скомпрометирован..и на нем сидит некий довнлоадер, который по сути не является вирусом....
попробуйте прогнать скажем куреитом
можно ещё попробовать "снифнуть" акулой....тогда будет точно видно, что и откуда

[Stroh]

В процессах - ничего не видно, никаких лишних файлов по сравнению с версией тазика за полгода до начала этого цирка не появилось...

Просто что удивляет - набор софта на тазике тот же, что и на других машинках, точно так же смотрящих в нет, но гадит только эта. Причем - крайне нерегулярно.

Под "акулой" имеется в виду Wireshark? Просто никогда им пользоваться не приходилось. Он может висеть неделями и срабатывать по попытке записи на сетевой диск?

[Koka-ftp]

Под "акулой" имеется в виду Wireshark?

да...можно настроить фильтр, что он будет ловить активность только по смб
зы..в планировщике смотрели? лишнего ничего нет?

[Мирянин]

флешками пользуетесь?

[Stroh]

В планировщике не то чтобы "лишнего" - вообще ничего нет. Это первым делом проверено.

Флешками на этой машинке не пользуюсь, да и авторан все равно запрещен с любых носителей.

А WireShark вообще живой?

А то сайт вроде работает, но download мертвый - ни один файл не отдается.

[-13-]

https://www.wireshark.org/#download
все 5 ссылок рабочие

[Stroh]

https://www.wireshark.org/#download
все 5 ссылок рабочие

Спасибо. Поднялся, значит. Качает. А три часа назад - Connection Refused и все...

Буду изучать.

[Stroh]

Так и не понял, как можно мониторить отдельные редко встречающиеся события.

Беда в том, что машинка эта постоянно что-то качает из сети, складывая в другую папку. А как повесить wireshark на мониторинг записи в конкретный диск - так и не понял.

Пару часов назад опять отложило обычный набор - exe-шник со странным именем, autorun и флаг.