Junior Member
Вес репутации
52
Касперский обнаруживает зловреды, удаляет, но они восстанавливаются
Добрый день!
В корне C: постоянно появляются файлы .exe с именами boot, sh, hex, xp с цифрами 000, 555, 1.
В C:\windows\system32\ плодятся папки с именами "i####"
В temp-папках периодически появляются winrar.exe
KIS11 находит, удаляет, но всё восстанавливается после перезагрузки.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) since80808 , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mcsql.exe','');
DeleteFile('C:\WINDOWS\system32\mcsql.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
I am not young enough to know everything...
Junior Member
Вес репутации
52
Сообщение от
Bratez
А где новые логи?
Прошу прощения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\recycler\hexshan.exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP1\A0001078.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp2\a0003150.exe', 'MBAM: Malware.Packer');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP2\A0003152.exe', 'MBAM: Malware.Packer');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP3\A0006152.exe', 'MBAM: Malware.Packer');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006154.exe', 'MBAM: Malware.Packer');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006156.dll', 'MBAM: Trojan.Backdoor');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006158.exe', 'MBAM: Backdoor.Xyligan');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006159.dll', 'MBAM: Trojan.Backdoor');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP3\A0006162.sys', 'MBAM: Rootkit.Agent');
QuarantineFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006165.exe', 'MBAM: Backdoor.Xyligan');
QuarantineFile('c:\windows\filename.jpg', 'MBAM: Trojan.Backdoor');
QuarantineFile('c:\RECYCLER\bootshan.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\RECYCLER\hex1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\RECYCLER\sh1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\RECYCLER\shshan.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\RECYCLER\sshan.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\RECYCLER\xp1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\RECYCLER\xpshan.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\WINDOWS\system32\p.exe', 'MBAM: Backdoor.Bot');
DeleteFile('c:\recycler\hexshan.exe');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP1\A0001078.exe');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp2\a0003150.exe');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP2\A0003152.exe');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP3\A0006152.exe');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006154.exe');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006156.dll');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006158.exe');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006159.dll');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\RP3\A0006162.sys');
DeleteFile('c:\system volume information\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\rp3\a0006165.exe');
DeleteFile('c:\windows\filename.jpg');
DeleteFile('c:\RECYCLER\bootshan.exe');
DeleteFile('c:\RECYCLER\hex1.exe');
DeleteFile('c:\RECYCLER\sh1.exe');
DeleteFile('c:\RECYCLER\shshan.exe');
DeleteFile('c:\RECYCLER\sshan.exe');
DeleteFile('c:\RECYCLER\xp1.exe');
DeleteFile('c:\RECYCLER\xpshan.exe');
DeleteFile('c:\WINDOWS\system32\p.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ всё, кроме
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Сообщение от
thyrex
Сделайте новый лог МВАМ
Готово
Удалите в МВАМ только указанные строки
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun (Hijack.CMDPrompt) -> Value: AutoRun -> No action taken.
Больше ничего необычного
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Сообщение от
since80808
Добрый день!
В корне C: постоянно появляются файлы .exe с именами boot, sh, hex, xp с цифрами 000, 555, 1.
В C:\windows\system32\ плодятся папки с именами "i####"
Продолжают появляться + то же самое в system32:
screen2.png
При загрузке XP что-то пытается ломиться по FTP:
screen.jpg
Вложения
Последний раз редактировалось since80808; 12.07.2011 в 11:07 .
Junior Member
Вес репутации
52
Новые логи - см. сообщение выше
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Сообщение от
thyrex
Готово
Вложения
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\hex555.exe
C:\sh555.exe
C:\xp555.exe
c:\windows\system32\seek.com
C:\hex1.exe
c:\windows\system32\ijuat.bat
c:\windows\system32\fiv.exe
c:\windows\system32\cgfaz.exe
c:\windows\system32\windows321.sys
Driver::
Folder::
c:\windows\system32\i5485
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Вложения
Junior Member
Вес репутации
52
Продолжают появляться всякие *555.exe и просто 555.exe в system32
1.png
Последний раз редактировалось since80808; 20.07.2011 в 11:09 .
Установите все новые обновления для Windows
Установите все новые обновления для MS SQL
d:\onix\Cash000\cash000.exe - это что?
c:\documents and settings\Admin\Главное меню\Программы\Автозагрузка\ICN.lnk - это что?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\\recycler\\shshan.exe - Trojan-Downloader.BAT.Small.aq ( AVAST4: BV:Ftp-AR [Trj] ) c:\\recycler\\xpshan.exe - Trojan-Downloader.BAT.Small.aq ( AVAST4: BV:Ftp-AR [Trj] ) c:\\system volume information\\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\\rp1\\a0001078.exe - Trojan-Downloader.BAT.Ftp.ng ( DrWEB: Trojan.DownLoad2.31595, BitDefender: Dropped:Generic.Botget.900DCD2F ) c:\\system volume information\\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\\rp2\\a0003152.exe - Trojan.Win32.Delf.byxd ( DrWEB: Trojan.Siggen2.54484, BitDefender: Trojan.Tdss.6759, AVAST4: Win32:Malware-gen ) c:\\system volume information\\_restore{975854bc-a23d-4ec0-9ed0-e2a87599ee0e}\\rp3\\a0006152.exe - Trojan.Win32.Delf.byxd ( DrWEB: Trojan.Siggen2.54484, BitDefender: Trojan.Tdss.6759, AVAST4: Win32:Malware-gen ) c:\\windows\\system32\\mcsql.exe - Trojan-Downloader.BAT.Ftp.ng ( DrWEB: Trojan.DownLoad2.31595, BitDefender: Dropped:Generic.Botget.900DCD2F )