подмена exe файлов [Trojan.Win32.Agentb.fpr ]

[Craz]

Здраствуйте проблема в следующем: В папке User/* создаються exe файлы размером 10.3мб с названием wrt(цифры),install.res(цифры),Backup_rev,redist.Пр и подключении флешки все exe файлы меняються в размере до 3.4мб.

[Info_bot]

Уважаемый(ая) Craz, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\manifeststore\svchost.exe');
 QuarantineFile('C:\Windows\System32\manifeststore\svchost.exe','');
 DeleteFile('C:\Windows\System32\manifeststore\svchost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Print service');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS.

[Craz]

карантин отправил и вот полный образ автозапуска uVS

[Vvvyg]

Выполните скрипт в uVS

Код:

;uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

offsgnsave
zoo %Sys32%\MANIFESTSTORE\WMDC.EXE
; C:\WINDOWS\SYSTEM32\MANIFESTSTORE\WMDC.EXE
addsgn 1A9E749A55837A8FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 16 Trojan.Win32.Agentb.fpr [Kaspersky]

zoo %SystemRoot%\UNINST.EXE
delall %SystemRoot%\UNINST.EXE
zoo D:\DOWNL\L2C04RUX.EXE
delall D:\DOWNL\L2C04RUX.EXE
chklst
delvir
deltmp
restart

Компьютер перезагрузится.

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните скрипт в uVS

Код:

;uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

offsgnsave
adddir %Sys32%\MANIFESTSTORE
crimg
chklst
delvir
deltmp

Будет создан новый полный образ автозапуска, прикрепите его к своему следующему сообщению.

[Craz]

отправил

- - - Добавлено - - -

Большая просьба помогающим не удалять тему,я ухожу в отпуск до вторника,дальнейшие действия смогу произвести только через неделю.С Пасхой Вас.

[Vvvyg]

Сделайте логи RSIT.
Сделайте лог полного сканирования МВАМ.

[Craz]

запрашиваемые логи

[Vvvyg]

Удалите в MBAM:

Код:

D:\Soft\Unlocker 1.8.9\unlocker1.8.9.exe (Bundled.Clicker.NSIS) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0032040.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033058.exe (Trojan.Spambot) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033540.exe (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033622.exe (Trojan.KillAV) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033664.exe (Trojan.Spambot) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033665.exe (Trojan.Spambot) -> Действие не было предпринято.

Удалите MBAM через панель управления, крайне не рекомендуется использовать его в качестве полноценного антивируса, тем более при наличии в системе ещё одного, тем более крякнутый...

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.

Что с проблемой?

[Craz]

все выполнил уязвимостей AVZ необнаружил,но файлы всеравно еще создаються.Могу предоставить удаленый доступ тимвьювером или амми.

[Vvvyg]

Сделайте лог ComboFix.

[Craz]

Лог

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ProgramData:mate','');
QuarantineFileF('C:\Qoobox\Quarantine', '*.*', True,'', 0, 0, '', '', '');
DeleteFile('C:\ProgramData:mate');
ExecuteFile('c:\users\Serg\Downloads\ComboFix.exe', '/uninstall', 0, 25000, false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[Craz]

отправленно

[Vvvyg]

Да, конкретно взламывают...
Сделайте лог MiniToolBox при подключённом интернете.

Уведомление

Включите UAC.

Включите брандмауэрWindows (если отключен).
Смените (либо установите) пароль администратора.
Общий доступ к папке c:\users\Public включен? Если да - отключите. Есть другие компьютеры в сети?

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.

[Craz]

уязвимостей ненайдено,доступ к паблик был закрыт, компьютер находиться в локальной сети - в ней присутсвуют 2 компьютера с такой же проблемой,но они целый день выключены.

[Vvvyg]

192.168.1.1 - это что, сервер, роутер?
Кстати, не мешает сделать проверку системного раздела обычным системным чекдиском, там, похоже, проблемы есть.
Что с основной проблемой?

[Craz]

да стоит роутер,чекдиски зделаю,саднрой на беды тож пройдусь.Пока не ввижу чтобы файлы создавались перезагружусь пару раз

[Vvvyg]

На роутере перенаправление портов каких-нибудь на этот компьютер настроено?

[Craz]

Насколько мне известно то нет,роутер напрямую подключен в стойку к провайдеру