Показано с 1 по 9 из 9.

svchost.exe + ati1lxx и др [Trojan-Spy.Win32.Zbot.rrn ] (заявка № 36948)

  1. #1
    Junior Member Репутация
    Регистрация
    08.01.2009
    Сообщений
    5
    Вес репутации
    56

    Question svchost.exe + ati1lxx и др [Trojan-Spy.Win32.Zbot.rrn ]

    Доброго времени суток, прошу о помощи,стоит дрвеб с ежедневными обновлениями но он пропустил заразу...
    в ручную нашел и с помощью гугла определил,что есть вредоносные:
    twex.exe
    rs32net.exe
    C:\WINDOWS\System32\svchost.exe с сегодняшней датой
    и периодически появляются сообщения от дрвеба о подозрительных ati1***.sys
    после нескольких тулзов от разных производителей и руками удалось удалить кое-что,но svchost не удаляется и есть подозрение,что зараза еще где-то осталась...
    в аттаче 3 лог файла,надеюсь на помощь , спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Восстановление системы - отключить
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{4ff11cca-8755-4310-9997-4535cb5592ed}');
     QuarantineFile('C:\Program Files\djdonatas.com\tbdjd1.dll','');
     QuarantineFile('aqmsnb.dll','');
     QuarantineFile('LMIinit.dll','');
     QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
     DeleteService('ati7aqxx');
     DeleteService('ati3ruxx');
     DeleteService('ati2ykxx');
     QuarantineFile('ati7aqxx.sys','');
     QuarantineFile('ati3ruxx.sys','');
     QuarantineFile('ati2ykxx.sys','');
     DeleteService('FCI');
     QuarantineFile('FCI.sys','');
     DeleteFile('FCI.sys');
     DeleteFile('ati2ykxx.sys');
     DeleteFile('ati3ruxx.sys');
     DeleteFile('ati7aqxx.sys');
     DeleteFile('C:\WINDOWS\System32\rs32net.exe');
     DeleteFile('aqmsnb.dll');
     DeleteFile('C:\Program Files\djdonatas.com\tbdjd1.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    08.01.2009
    Сообщений
    5
    Вес репутации
    56
    выполнил скрипт, выполнил 3 скана, virus.zip так-же залил...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: djdonatas.com Toolbar - {4ff11cca-8755-4310-9997-4535cb5592ed} - C:\Program Files\djdonatas.com\tbdjd1.dll (file missing)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport\NTIEHelper.dll (file missing)
    O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)
    O3 - Toolbar: &Gismeteo.Ru - {923A63EB-3D61-44A5-9E54-545127FEAEEA} - C:\PROGRA~1\GISMET~1\GISMET~1.DLL (file missing)
    O3 - Toolbar: Reify Toolbar - {B99F805C-F0B1-48EA-8C8B-753BFCBED912} - C:\Program Files\Turnabout\turnabout.dll (file missing)
    O20 - Winlogon Notify: aqmsnb - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\System Volume Information\_restore{8CCE3B70-6C6F-4EBC-9FD7-BB316A9609D1}\RP418\A0148498.exe:ext.exe:$DATA','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2052111302-2077806209-725345543-1003\Dc88.exe','');
     QuarantineFile('C:\Program Files\p.exe','');
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-2052111302-2077806209-725345543-1003\Dc88.exe');
     DeleteFile('C:\Program Files\p.exe');
     DeleteFile('C:\System Volume Information\_restore{8CCE3B70-6C6F-4EBC-9FD7-BB316A9609D1}\RP418\A0148498.exe:ext.exe:$DATA');
    BC_ImportALL;
     BC_DeleteSvc('catchme');
     BC_DeleteSvc('ati1ilxx');
     BC_DeleteSvc('ati0xkxx');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    08.01.2009
    Сообщений
    5
    Вес репутации
    56
    хайджеком пофиксил, скрипт выполнил
    вот новый карантин и логи
    странно,в карантине написано,что есть файл
    C:\WINDOWS\system32\twex.exe
    но физически я его там не вижу...
    да и в system32 svchost.exe с размером 14336, и датой модификации от вчера он нормальный? никто из сканеров на него не жалуется,но мало-ли
    спасибо
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    08.01.2009
    Сообщений
    5
    Вес репутации
    56
    svchost таки продолжает ломиться на какой-то левый айпишник по удп, его сдерживает аутпост, но неизвестно,все ли он сдерживает...

    Добавлено через 6 минут

    сравнил его побайтно с "чистым" svchost'oм - идентичны,т.е. с этим все в порядке, его кто-то принуждает ломиться в инет... %)
    Последний раз редактировалось Raoul; 09.01.2009 в 16:15. Причина: Добавлено

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Raoul Посмотреть сообщение
    svchost таки продолжает ломиться на какой-то левый айпишник по удп,
    не вижу ... *лог аутпоста *прикрепите ....*

  9. #8
    Junior Member Репутация
    Регистрация
    08.01.2009
    Сообщений
    5
    Вес репутации
    56
    во первых все время:
    16:53:10 85.198.180.* Обнаружена атака, узел не заблокирован ARP_UNWANTED_REPLY
    раз в 20 +/- сек, айпишники разные,но с одной подсети....
    так-же куча такого:
    16:55:14 Блокировать IN UDP 58.62.3.* 23634 85.198.151.* 31000 Заблокировано Детектором атак
    хотя судя по порту - это торенты ломятся? хотя клиент не запущен...

    исходящие попытки не могу найти в логах,я его несколько раз заблокировал,быть может по этому...
    а что видно в логах AVZ? не осталось следов от изначального вируса? спасибо!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\p.exe - Trojan-Dropper.Win32.Pincher.lw (DrWEB: Trojan.PWS.Multi.19)
      2. c:\\recycler\\s-1-5-21-1343024091-1275210071-725345543-1003\\dc3.exe - Trojan-Dropper.Win32.Pincher.lw (DrWEB: Trojan.PWS.Multi.19)
      3. c:\\recycler\\s-1-5-21-2052111302-2077806209-725345543-1003\\dc88.exe - Trojan-PSW.Win32.Agent.lni (DrWEB: Win32.HLLW.Snot)
      4. c:\\system volume information\\_restore{8cce3b70-6c6f-4ebc-9fd7-bb316a9609d1}\\rp418\\a0148498.exe:ext.exe:$data - Trojan.Win32.Inject.myf (DrWEB: Trojan.Inject.5430)
      5. c:\\windows\\system32\\aqmsnb.dll - Backdoor.Win32.Hijack.ai (DrWEB: Trojan.Inject.5416)
      6. c:\\windows\\system32\\twex.exe - Trojan-Dropper.Win32.Pincher.mf (DrWEB: Trojan.PWS.Multi.19)


  • Уважаемый(ая) Raoul, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe
      От Geonov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.09.2009, 18:51
    2. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 06:47
    4. svchost.exe и прочее
      От timur_nagimov в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 06:47
    5. Help! Маскировка процесса "svchost.exe" \HarddiskVolume1\~\svchost.exe
      От Кабанчик в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00154 seconds with 20 queries