Неизвестное beqndi.exe в папке пользователя с правами Администратора
Обращаюсь впервые; надеюсь на помощь... Неизвестные beqndi.exe и rnpw.exe в папке пользователя с правами Администратора. Трафик улетает, причём исходящий равен или даже больше входящего. При блокировке beqndi.exe (удалённый адрес: 78.109.18.194.in.hosting.ua, порт: n/a или HTTPS; удалённый адрес: 239.255.255.250, порт: 1900; удалённый адрес: LocalHost, порт: n/a) в Outpost Firewall 1.0 - полный порядок. Что это? Что делать?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте, Павел. Спасибо за отзыв. Не уверен, что всё сделал правильно... (всё-таки в первый раз)
1) "а/вирус отключить" - это значит: убить процесс (освободить трей) или только выгрузить (отключить мониторинг)?
2) нужно ли было отключать "восстановление системы" (не отключал!) перед выполнение скрипта, перед выполнением новых логов?
3) скрипт выполнил. сделал новые логи. загрузил карантин. Примечание: мне показалось, что rnpw.exe идентичен beqndi.exe (смотрел ANSI обоих до выполнения скрипта). Оба были скрытые в папке пользователя с правами Администратора. rnpw.exe остался. Что это?
Последний раз редактировалось Alex_Goodwin; 30.07.2008 в 01:32.
Это значит временно его отключать на время выполнения сриптов в АВЗ и исследования системы при помощи АВЗ.
нужно ли было отключать "восстановление системы"
Да нужно отключите и не включайте до окончания лечения.
загрузил карантин.
У нас карантин загружается по красной ссылке вверху страницы, а не в тему.
rnpw.exe остался. Что это?
rnpw.exe поищите при помощи АВЗ --сервис--поиск файлов на диске. если найдётся - тогда вышлите согласно приложения 3 правил.
по карантину WINDOWS\system32\fvhoq.exe - Backdoor.Win32.Arin.a, beqndi.exe - Backdoor.Win32.Arin.a.
Отключите восстановление системы, антивирус и выполните предложенный скрипт PavelA ещё раз. После выполнения повторите логи.
Прошу прощения за предоставленные неудобства. Буду исправляться… 1) Восстановление системы отключил, выполнил предложенный скрипт PavelA ещё раз, после выполнения повторил логии, карантин, думаю, тоже загрузился 2) rnpw.exe при помощи АВЗ --сервис--поиск файлов не найден, но в менеджере дисков я его вижу (могу ли я его заархивировать без AVZ и отослать по ссылке карантина?) 3) WINDOWS\system32\fvhoq.exe, beqndi.exeбыли связаны между собой?
Выполни и посмотри попадет ли этот файл в карантин.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\Дмитрий\rnpw.exe','');
DeleteFile('c:\documents and settings\Дмитрий\rnpw.exe ');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось PavelA; 30.07.2008 в 14:19.
Причина: Добавлено
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Профиксил (или профиксовал), выполнил скрипт. rnpw.exe из папки пользователя с правами Администратора удалён, попал в карантин (отправил). Сделал снова логи (отправил). Но вопросы остались, пожалуйста растолкуйте, как можно более доступно: 1) WINDOWS\system32\fvhoq.exe - Backdoor.Win32.Arin.a, beqndi.exe - Backdoor.Win32.Arin.a., rnpw.exe – BootCleaner quarantine. Что это? чем занимались? были ли связаны между собой (у всех дата и время создания одинаковые – 25.07.08, ~14.48 )? можно ли проследить от кого (есть подозрение, а так же остались логи из Outpost Firewall) и т.п.? 2) В протоколах AVZ отображаются данные: поиска потенциальных уязвимостей, поиска и устранения проблем и т.д. Как с ними работать? И, вообще, как правильно читать (анализировать) протокол? 3) Возможно ли на virusinfo (через карантин AVZили ещё как-то) проверить подозрительный файл .exe, .rar, .zip?
Профиксил (или профиксовал), выполнил скрипт. rnpw.exe из папки пользователя с правами Администратора удалён, попал в карантин (отправил). Сделал снова логи (отправил). Но вопросы остались, пожалуйста растолкуйте, как можно более доступно: 1) WINDOWS\system32\fvhoq.exe - Backdoor.Win32.Arin.a, beqndi.exe - Backdoor.Win32.Arin.a., rnpw.exe – BootCleaner quarantine. Что это? чем занимались? были ли связаны между собой (у всех дата и время создания одинаковые – 25.07.08, ~14.48 )? можно ли проследить от кого (есть подозрение, а так же остались логи из Outpost Firewall) и т.п.? 2) В протоколах AVZ отображаются данные: поиска потенциальных уязвимостей, поиска и устранения проблем и т.д. Как с ними работать? И, вообще, как правильно читать (анализировать) протокол? 3) Возможно ли на virusinfo (через карантин AVZили ещё как-то) проверить подозрительный файл .exe, .rar, .zip?
Ты так много тегов вставляешь, что отвечать очень тяжело.
Попробую, кое что растолковать.
1. Описания малваре читать на viruslist.com. если не найдешь там, то надо будет искать на сайте симантека.
2. внизу есть кнопочки для исправления проблем. Нажимаем на них - получаем скрипт. Если что-то отключил лишнее, надо будет делать откат.
Есть еще "Мастер исправления проблем".
3. Читать логи - учим у нас на форуме. Сейчас группа в 60 человек ожидает обучения. При желании записывайся, жди очереди.
4. Провериться можно на virustotal.com или на подобных ресурсах. Ссылки на них есть на форуме.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: