Очень странный вирус. Инфы нигде нет. Уменьшает exe файлы
 

Перерыл весь гугл уже.
Проблема есть и решить пока не знаю как...

В общем сетка из 20 машин.
1 сервак и DC и DNS и DHCP и File в одном лице.

С недавнего времени стала происходить странная лабуда.
На серваке есть файлопомойка, где в одной из папок лежат дрова к различному оборудованию.
Так вот, некоторое время назад заметил, что размер некоторых exe и msi уменьшился до 30-40 kb.
Понятное дело, что само по себе так не происходит.
Весь интернет уже взорвал, нигде никаких упоминаний, к сожалению...

Вот и пишу здесь, в надежде, что у кого-то что то подобное было...

Проверял cureIt, проверял Kasperom.
Проверял Microsoftom
Ничего подозрительного найдено не было

Грузился под Live-CD, проверял и скал все странные экзешники, появившиеся за последние пару-тройку недель - ничего плохого!

Скорее всего раньше во всех дровах был вирус, а после его удаления файлы уменьшились.

Это происходит периодически. Я все файлы снес, через пару дней все новые файлы так же уменьшились.....

3-economist >
О да, сейчас нормой для подобных файлов стало 30-40кб. :)
Самому то хоть верится в эту чушь?

Автор
Тут скорей что вместо исполняемых файлов уже сидит вирусяка. Что внутри файлов? Похожи на исполняемые или инсталяторы?
Если похожи, можешь попробовать проверить их на virustotal.com Да и в лаборатории антивирусныы вышли образцы, чтобы их там препарировали.

файлы называются так же. Иконку имеют такую же.
Даже цифровая подпись сохраняется.

Только размер 30-40 кб

Вот пожалуйста, снимок, например, файерфокса
Размер в байтах

[url]http://s013.radikal.ru/i324/1210/fe/80f857defe2c.jpg[/url]

сам файл проверял тремя различными антивирусами.
Везде тишина

7-Mirocomp >
А можно посмотреть что у него внутри?
Открой его тем же Блокнотом и покажи как выглядит.
Можеешь даже просто в контекстном меню выбрать свойства и посмотреть что там.
PS. Три антивируса это разговор ни о чём. Я тебе уже дал необходимый сайт на котором проверяется более 40ка антивирусами.

Вот можешь посмотреть статистику по только что удалённому вирусу, который не видел установленный в системе аваст
[url]https://www.virustotal.com/file/ff54242fc559dd5d566362ad3211d3cc8fd78a387dc1c2ad1c84ac9c6cf1f121/analysis/1350045895/[/url]
Обрати внимание на количество антивирусов, определяющих его.

Значит так:
В свойствах, присутствуют все цифровые подписи мозиллы, как и оригинального файла. Все авторские права и надписи.
При запуске соответственно - file corrupted.
Открывается как бинарник, примерно 300 строчек белиберды.

Отправил сейчас на вирустотал, посмотрим...

Вирус тотал закончил:
Мдаааа

[url]https://www.virustotal.com/file/560da8704328413ca67a70d68d80447563ec04b0a131cb64479dc847975748cc/analysis/1350049194/[/url]

to13 это ни о чем не говорит.
а диск проверял на наличие ошибок?

Да еще для хохмы сравни уменьшенный файл с исходным побайтно. Интересно есть ли там различия, т.е. если уменьшенный файл полностью совпадает с началом исходного файла, то вряд ли это вирус.

14-TVV1 >
Да о чём тут можно думать? Лечиться надо.
Sality - вирус, поражающий исполняемые файлы. Какая то очередная версия.

Новый салити, который мало того, что не обнаруживается нормальными антивирусниками, так еще и грохает все экзешники? Очень надеюсь что до меня такой не дойдет :) И так этот салити терпеть не могу (часто бывало что после лечения экзешника он портился).

Все экзешники, которые были им поражены, пришлось удалить...
Ничего пока не лечится, к сожалению.

Забудь про Касперские и ДрВебы.
Используй облачный Hitman Pro и Emsisoft Emergency Kit.

Даже в твоей ссылке на вирустотал Emsi определяет этот вирус, а также Ikarus, базы которого использует Hitman Pro (и еще 4ех антивирусов).

Воспользовался бы ими вовремя - намного меньше бы потерял.

Касперы и Вебы давно в отстое, прошлый век, по инерции их все используют, когда есть намного лучше и быстрее работающие.

[quote=antrox;27254738]Используй облачный Hitman Pro и Emsisoft Emergency Kit.[/quote]
+ много. ЕЕК особенно. Уже с пяток компов спас, когда не помогали ни Kaspersky Rescue Disk, ни CureIt (но эту штуку уважаю).
Ну и MBAM. Хорошая, годная штуковина, просто узкоспециализированная. Но рекомендую юзать всем.

21, единственный его минус Эмсика - очень длинная команда на старт сканирования с нужными настройками (когда через Коммандер с флешки). Я ваще сфоткал всю строку из Readme на телефон :)
Правда он поддерживает автозагрузку с флешки, можно даже заказать за недорого у веднора и пришлют по почте. Но я так и не допер чем бы закать EEK, чтобы создалось там это MBR загрузочное. Всё никак не разберусь. Даже финду загрузочную ходил к другу закатывать на флешк :) Хотя знаю что там только програмка нужна для записи. Вроде как.