Заражение (заявка №107479)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Большой исход. траффик (2гб за 30 минут), появление в system32/ папок с названиями iXXXX (например i9028). В них содержаться exe с именами JBSB.exe, E001.exe, H001.exe, A17.exe. И файл D.bat.
Дата обращения: 19.08.2011 20:13:58
Номер заявки: 107479

[CyberHelper]

19.08.2011 21:20:05 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\\Users\\home\\AppData\\Local\\Temp\\WinRAR.exe - Backdoor.Win32.Agent.bkjc
   
   • размер: 141744 байт
   • детект других антивирусов: DrWEB 6.0: Зловред DDoS.Tenbylf; VBA32: Зловред Backdoor.Agent.bkjc; BitDefender: Зловред Backdoor.Agent.AAXM; Avast4: Зловред Win32:Agent-ANBN [Trj]
2. c:\\windows\\system32\\i2534\\a17.exe - Trojan-Dropper.Win32.Agent.fqsd
   
   • размер: 172032 байт
   • дата файла: 19.08.2011 20:45:04
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.MulDrop1.64025; BitDefender: Зловред Gen:Trojan.Heur.BDT.kuW@bG6Lvhp
3. c:\\windows\\system32\\i2534\\d001.exe - Backdoor.Win32.Krafcot.anc
   
   • размер: 135456 байт
   • дата файла: 19.08.2011 20:45:08
   • детект других антивирусов: BitDefender: Зловред GenPack:Trojan.Agent.ARZA; NOD32: Подозрение Win32/Agent.OSH trojan; Avast4: Зловред Win32:Crypt-KCN [Trj]
4. c:\\windows\\system32\\i3182\\a17.exe - Trojan-Dropper.Win32.Agent.fqsd
   
   • размер: 172032 байт
   • дата файла: 19.08.2011 20:37:56
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.MulDrop1.64025; BitDefender: Зловред Gen:Trojan.Heur.BDT.kuW@bG6Lvhp
5. c:\\windows\\system32\\i3182\\d001.exe - Backdoor.Win32.Krafcot.anc
   
   • размер: 135456 байт
   • дата файла: 19.08.2011 20:38:00
   • детект других антивирусов: BitDefender: Зловред GenPack:Trojan.Agent.ARZA; NOD32: Подозрение Win32/Agent.OSH trojan; Avast4: Зловред Win32:Crypt-KCN [Trj]
6. c:\\windows\\system32\\i3182\\jate.exe - Trojan.Win32.Scar.enkl
   
   • размер: 73728 байт
   • дата файла: 19.08.2011 20:38:12
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader4.41486; BitDefender: Зловред Gen:Variant.Graftor.173; NOD32: Подозрение Win32/ServStart.AD trojan; Avast4: Зловред Win32:ServStart-C [Trj]
7. c:\\windows\\system32\\i3182\\jbsb.exe - Trojan.Win32.Scar.enkl
   
   • размер: 73728 байт
   • дата файла: 19.08.2011 20:38:14
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader4.41486; BitDefender: Зловред Gen:Variant.Graftor.173; NOD32: Подозрение Win32/ServStart.AD trojan; Avast4: Зловред Win32:ServStart-C [Trj]
8. C:\\Windows\\system32\\nvumdshim.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 644200 байт
   • дата файла: 12.12.2010 20:28:00
   • версия: "8.17.12.6619"
   • копирайты: "(C) NVIDIA Corporation. All rights reserved."
9. C:\\Windows\\system32\\Drivers\\pcidump.sys - Rootkit.Win32.Agent.aeji
   
   • размер: 4352 байт
   • дата файла: 19.08.2011 21:04:22
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.Darkshell; VBA32: Зловред Rootkit.Win32.Agent.isz; BitDefender: Зловред Trojan.Generic.1923174; NOD32: Зловред Win32/Agent.NXE trojan; Avast4: Зловред Win32:Trojan-gen
10. C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \IAStorCommon\\44fe461fe2b814d5ce55a5a6e1ff2c49\\I AStorCommon.ni.dll - подозрительный, обрабатывается вирлабом
    
    • размер: 14336 байт
    • дата файла: 17.08.2011 13:00:42
    • версия: "1.0.0.0"
    • копирайты: "Copyright © Intel Corp. 2009-2010"
11. C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \IAStorDataMgrSvc\\92c7765dd182bc9808b63fcf37fd46c a\\IAStorDataMgrSvc.ni.exe - подозрительный, обрабатывается вирлабом
    
    • размер: 19968 байт
    • дата файла: 17.08.2011 13:00:40
    • версия: "10.0.0.1046"
    • копирайты: "Copyright © Intel Corporation 2009-2010"
12. C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \IAStorDataMgr\\960b43dd42713e4cb04e7af6862e83af\\ IAStorDataMgr.ni.dll - подозрительный, обрабатывается вирлабом
    
    • размер: 219136 байт
    • дата файла: 17.08.2011 13:00:42
    • версия: "10.0.0.1046"
    • копирайты: "Copyright © Intel Corporation 2009-2010"
13. C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \IAStorUtil\\b38c5bfd621dd6742c86c84eba18e8ca\\IAS torUtil.ni.dll - подозрительный, обрабатывается вирлабом
    
    • размер: 475136 байт
    • дата файла: 17.08.2011 13:00:42
    • версия: "10.0.0.1046"
    • копирайты: "Copyright © Intel Corporation 2009-2010"
14. C:\\Windows\\assembly\\NativeImages_v2.0.50727_32\ \IsdiInterop\\8cfedd91836f3e8fbff75c55ec48c351\\Is diInterop.ni.dll - подозрительный, обрабатывается вирлабом
    
    • размер: 169472 байт
    • дата файла: 17.08.2011 13:00:50
15. C:\\Users\\home\\AppData\\Local\\Temp\\_uninst_169 98765.bat - подозрительный, обрабатывается вирлабом
    
    • размер: 360 байт
    • дата файла: 19.08.2011 20:47:18