Прошу помочь в поимке вируса Trojan-Downloader.BAT.Small.ap

**Zderciuc** · 14.11.2013, 11:37

Прошу помочь в поимке вируса.
Антивирус Касперского Version: 8.0.0.559 . ловит только продукты вируса а не сам вирус. есть скриншот
симптомы вируса:
1. на диске С и в system32 файлы "набор символов".exe (xpwpers.exe zywpers.exe hexwpers.exe)
2. появились новые пользователи с правами админа и без, с различными именами

много перезагрузок не могу сделать. Сервер работает круглосуточно. hijackthis.log
virusinfo_syscheck.zip

virus.png

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.11.2013, 11:38

Уважаемый(ая) Zderciuc, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Zderciuc** · 14.11.2013, 13:18

virusinfo_syscheck.zip hijackthis.log

**Vvvyg** · 14.11.2013, 15:30

Пределайте лог AVZ не из терминальной сессии.
А лучше Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. Ей можно и из терминальной сессии.

**Zderciuc** · 14.11.2013, 19:05

UNGHENI_2013-11-14_15-35-54.7z

**Vvvyg** · 14.11.2013, 23:39

Выполните скрипт в uVS:

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref %SystemRoot%\IME\CV.EXE
delref sethc.exe
delref %Sys32%\CHINA.PSD
delref %Sys32%\NTSD.PSD
delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2545381
delref HTTP://WWW2.DELTA-SEARCH.COM/?BABSRC=HP_SS&MNTRID=D8180026B933E397&AFFID=122471&TSP=4988
delref %SystemRoot%\IME\CV.EXE
adddir %Sys32%
adddir %SystemRoot%\IME
adddir c:\
crimg

Будет создан новый полный образ автозапуска uVS, загрузите его на rghost.ru и дайте ссылку в теме.

Похоже ломают сервер удалённо. Смените админские пароли, убейте левые учётки. Один из вероятных путей проникновения - через уязвимости MS SQL Server. Смените на нём пароли, установите пакет обновления 4 RTM для Microsoft SQL Server 2005.
Закройте на брандмауэре ненужные снаружи сервисы.

Прошу помочь в поимке вируса Trojan-Downloader.BAT.Small.ap (заявка № 149451)

Опции темы

Прошу помочь в поимке вируса Trojan-Downloader.BAT.Small.ap

Похожие темы

При подключении к интернет, в корневом диске появляются exe файлы... [Trojan-Downloader.BAT.Ftp.mf, Trojan-Downloader.BAT.Small.aq]

Прошу помочь с лечением вируса

Прошу помощи в поимке вируса

Прошу помочь вылечить флэшку от Win32/Brontok.A и VBS/Small.K

BackDoor.Bulknet (он же Trojan-Downloader.Win32.Agent.brk?) - прошу помочь.

Метки для этой темы

Ваши права в разделе