Windows XP Sp3
Slave - это от twd
svchost заражен variant of Corkow.F Trojan
антивирус NOD32, при старте обнаруживает, но лечить не может.
прогнал AVPTool не помогло, логи от AVZ, Hijack This прилагаю.
Safe boot вызывает 0x000007b
Windows XP Sp3
Slave - это от twd
svchost заражен variant of Corkow.F Trojan
антивирус NOD32, при старте обнаруживает, но лечить не может.
прогнал AVPTool не помогло, логи от AVZ, Hijack This прилагаю.
Safe boot вызывает 0x000007b
Уважаемый(ая) mmaaiill, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\slave.exe',''); QuarantineFile('C:\Program Files\Common Files\Services\synmsext.xof',''); QuarantineFile('C:\Documents and Settings\admin\Application Data\1B73C9\1B73C9.exe',''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); DeleteFile('C:\Documents and Settings\admin\Application Data\1B73C9\1B73C9.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','madFlac'); DeleteFile('C:\Program Files\Common Files\Services\synmsext.xof'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке в шапке этой темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
скрипт выполнен успешно,
перезагрузку пришлось таки нажать кнопку питания,
вирус при загрузке не обнаружен,
карантин прикрепил,
логи прилагаю =)
Проверьте этот файл на virustotalКод:C:\WINDOWS\Slave.exe
кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
- Сделайте лог полного сканирования МВАМ.
смените пароли в первую очередь банковские.
в этом файле уверен, сравнил размеры с другими копиями на других компьютерах, сам клал его именно в это место =)
Подпись соответствует. Размер и время тоже. Это ремот админ от twd industries, пользуемся не первый год. Дата файла 02.07.08 18:34 совпадает.
вирустотал
MBAM сейчас прогоню, хотя не очень новая версия тут присутствовала.
пароли это уже придется завтра менять, до утра остается уповать на то, что ключи (в реестре их не было) не увели с носителей.
- - - Добавлено - - -
MBAM лог прилагаю
- - - Добавлено - - -
Из лога MBAM
Обнаруженные файлы: 4
C:\Documents and Settings\admin\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Пробовать лечить и еще раз проверку или сразу чего?
Удалите в MBAM:
Сделайте повторный лог MBAM.Код:Обнаруженные файлы: 4 C:\Documents and Settings\admin\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
- - - Добавлено - - -
+ добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темыон самый и есть.variant of Corkow.F Trojan [not-a-virus:RemoteAdmin.Win32.RA.52126 ]
еще раз подчеркну, что этот же Slave от twd есть на всех компах и именно в этой папке и такого размера - сравнивал, все совпадает.+ добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темы он самый и есть.
других сейчас поудаляю.
С этим мы уже разобрались.
Добавить в исключения, это http://www.esetnod32.ru/support/know...phrase_id=7845 , т.к. ESET воспринимает отдельные программы удаленного доступа, как not-a-virus:RemoteAdmin, будут вопросы, задавайте.
почистил, прогнал MBAM, перезагрузил, прогнал еще раз - чисто, нод вроде тоже молчит.
Спасибо, вроде все полечили.
про пароли думаю помните,
+ - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Советы и рекомендации после лечения компьютера
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\slave.exe - not-a-virus:RemoteAdmin.Win32.RA.52126 ( DrWEB: Program.RemoteAdmin, BitDefender: Virtool.1335 )
Уважаемый(ая) mmaaiill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.