Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Вирус TXPlatform.exe и Cool_GameSetup.exe (заявка № 52083)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54

    Exclamation Вирус TXPlatform.exe и Cool_GameSetup.exe

    ОС Windows Server 2003 SP2. Появился вирус TXPlatform.exe и Cool_GameSetup.exe, заражает ехе файлы, создаются на дисках файлы autorun.inf и УУУУУУ.ехе. Чистил Dr. Web CureIt! вначале помогло, через неделю снова таже картина. С сервером работают люди, переустанавливать систему не хотелось бы. Подскажи пожалйста, что можна сделать.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) ???

    ОС Windows Server 2003 SP2.
    Версия Windows: 5.2.3790, Service Pack 1
    ???

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('F:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте лог GMER
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Добавлено через 3 минуты

    Цитата Сообщение от mcpasha Посмотреть сообщение
    С сервером работают люди.... Подскажи пожалйста, что можна сделать.
    Дать людям по шее, чтобы флешек непроверенных не совали (шутка)
    По серъезному:
    - установите Сервис Пак 3 и все обновления безопасности;
    - установите Интернет Эксплорер 8;
    - отберите у всех пользователей (кроме Вас) админские права;
    - отключите автозапуск с флешек.
    Последний раз редактировалось Rene-gad; 14.08.2009 в 17:35. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

    Профиксил, после перезагрузки:

    Вход в систему - Нажмите Ctrl-Alt-Delete. Ввожу логин, пароль..грузится и снова возвращается к Вход в систему - Нажмите Ctrl-Alt-Delete. Что делать?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mcpasha Посмотреть сообщение
    Что делать?
    http://virusinfo.info/showthread.php?t=51777

  6. #5
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    Прощу прощения userinit восстановить не получилось, пришлось виндоус восстановить из архива, и снова вирусы переползли. Касперский выдаёт новый вирус C:\Documents and Settings\Administrator\Local Settings\Temp\qqma.exe и попрожнему TXplatform.exe и создаёт файлики да дисках. Сделал новые логи. ЖДУ следующих распаряжений от Вас. До завтра надо избавиться от вируса (((

  7. #6
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    Дать людям по шее.
    Уже дал. С удовольствием бы поставил СП3 если бы он был для Windows server 2003. Прав админиских у них и так нет, поотключал всем USB порты.
    Последний раз редактировалось Rene-gad; 16.08.2009 в 19:20.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mcpasha Посмотреть сообщение
    С удовольствием бы поставил СП3 если бы он был для Windows server 2003.
    Ну хотя бы СП2 поставьте: http://www.microsoft.com/downloads/d...DisplayLang=ru

    Сделайте лог GMER в локальной сессии в учетке сетевого админа.

    Добавлено через 1 минуту

    Цитата Сообщение от mcpasha Посмотреть сообщение
    пришлось виндоус восстановить из архива, и снова вирусы переползли.
    В смысле - из образа? Значит образ был заражен.
    Последний раз редактировалось Rene-gad; 16.08.2009 в 19:26. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    делаю

    Добавлено через 2 минуты

    Образ Acronis он был сделан ещё год назад. Не думаю что он был заражен. Вопрос: этот вирус по сети может перелесть на другие компы?

    Добавлено через 1 минуту

    Без формата диска С востанавливал винду из образа.

    Добавлено через 4 минуты

    Делая проверку gmer:
    1) Выпадают сообщения: не могу найти путь к папке system;
    2) Выпал синий экран смерти (

    Добавлено через 10 минут

    Делая заново после перезагрузки пишет ненайден путь уже к другим папкам
    Последний раз редактировалось mcpasha; 16.08.2009 в 19:47. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mcpasha Посмотреть сообщение
    1) Выпадают сообщения: не могу найти путь к папке system;
    Вы в локальной сессии сидите? Учетка какая?

    Добавлено через 52 секунды

    Цитата Сообщение от mcpasha Посмотреть сообщение
    Вопрос: этот вирус по сети может перелесть на другие компы?
    Если поймаем его - скажем. В принципе - ответ ДА.
    Последний раз редактировалось Rene-gad; 16.08.2009 в 19:49. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    Администратор. Да в локальной, сейчас делается пока что

    Добавлено через 2 минуты

    Стоп, в локальной сессии - это как понять, через терминал зайти на сервак? я просто захожу на сервер под администратором, запускаю gmer, проверяет и выдаёт синий экран смерти.

    Добавлено через 47 секунд

    Локальные машины прогонял НОДОМ и dr. Web ни4его не нашло..
    Последний раз редактировалось mcpasha; 16.08.2009 в 19:52. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mcpasha Посмотреть сообщение
    Администратор
    Локальный или сетевой?

    Добавлено через 34 секунды

    Цитата Сообщение от mcpasha Посмотреть сообщение
    Стоп, в локальной сессии - это как понять, через терминал зайти на сервак?
    Нет, это будет терминальная сессия
    Последний раз редактировалось Rene-gad; 16.08.2009 в 19:57. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    Так а локальная это какая?

    Добавлено через 2 минуты

    Ну захожу под администратором сервера, наверное это ж и сетевой.

    Добавлено через 56 секунд

    Вообщем снова синий экран смерти (
    Последний раз редактировалось mcpasha; 16.08.2009 в 20:01. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mcpasha Посмотреть сообщение
    Ну захожу под администратором сервера, наверное это ж и сетевой.
    Наверно? А Вы не админ в этой сети?
    ОК, попробуйте это средство: http://virusinfo.info/showthread.php?t=37840
    Логи VBA потом в студию.

  15. #14
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    сделал

    админ)
    Последний раз редактировалось Rene-gad; 16.08.2009 в 23:42.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ничего подозрительного в логах нет. Что с проблемой?

    Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #16
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    Ничего подозрительного в логах нет, потому что касперский скорей всего покосил его на время, но после каждой перезагрузки виндоуса появляется фаил на С, Д, Т YYYYYYY.exe. Я отключил один винчестер, на нём сидит эта зараза, может удалить касперского, подключить винчестер и прислать Вам снова логи?

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от mcpasha Посмотреть сообщение
    Я отключил один винчестер, на нём сидит эта зараза, может удалить касперского, подключить винчестер и прислать Вам снова логи?
    Удалять антивирус не нужно, на время лечения просто отключите его.

    1. Обновите базы AVZ.

    2. Повторите лог virusinfo_syscheck.
    Сердце решает кого любить... Судьба решает с кем быть...

  19. #18
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    Сейчас типа вируса нет, мне подождать пока он появится и делать логи?

    Отключил антивирус, перезагрузил компьютер. Сделал логи.
    Последний раз редактировалось Rene-gad; 17.08.2009 в 14:43.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логе ничего подозрительного не увидел. Жалобы есть?

  21. #20
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    70
    Вес репутации
    54
    Прикрепил скрин посмотрите, касперский удаляет, после перезагрузки снова появляется...

  • Уважаемый(ая) mcpasha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Очередная проблема с TXplatform.exe
      От criminaL в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.09.2009, 08:33
    2. TXplatform.exe
      От Ableben в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.06.2009, 23:09
    3. Ответов: 19
      Последнее сообщение: 22.02.2009, 09:50
    4. Невозможно удалить TXPlatform.еxe
      От zavto в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2009, 21:09
    5. TXPLATFORM.EXE
      От AMIGOM в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.01.2009, 13:03

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00933 seconds with 19 queries