Показано с 1 по 18 из 18.

Вирус на рабочей машине [Backdoor.Win32.Zdoogu.j, Backdoor.Win32.Agent.abhn ] (заявка № 37455)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29

    Thumbs up Вирус на рабочей машине [Backdoor.Win32.Zdoogu.j, Backdoor.Win32.Agent.abhn ]

    Рабочая машина работает с защифроваными сообщениями входит в корпаративную сеть. На машине установлен клиент Symantec. 2 дня назад в трее появилось системное сообщение об опасности после чего появился Антивирус 2009 следом симантек выдал сообщение вирус. Процес антивируса 2009 был оставлен. При перезагрузке был отключем из автозагрузки. Симантек выдает предупреждение об обноружении Hacktool.Rootkit и Trojan Horse после лечения и перезагрузки обнаруживает снова. Машина перегружалась в безопасный режим и проверялась Symantec и Dr.Web CureIt так же в безопасном режиме проверялась AVZ. Наследующий день опять появился Антивирус 2009 который был изолирован. После проверки машины зараженных фаилов найдено небыло. На данном этапе после каждой перезагрузке Symantec выдает также об обнаружении Hacktool.Rootkit и Trojan Horse в процесах диспечера задач от пользователя запущено очень большое количество процессов и присутствует процесс меняющий постоянно свой pid- Demyanov.exe. Установлена операционная система Windows XP SP2. Помогите нейтрализовать вирусы для дальнейшего безопасного переноса документации и программ на другую машину.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
     QuarantineFile('C:\Documents and Settings\Demyanov\Demyanov.exe','');
     DeleteService('Winac50');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winac50.sys','');
     DeleteService('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteService('Hmb52');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Hmb52.sys','');
     QuarantineFile('acpi32.sys','');
     DeleteService('wuauservdmadmin');
     DeleteService('WebClientVSSsrservice');
     DeleteService('VSSsrserviceUMWdf');
     DeleteService('VSSsrservice');
     DeleteService('SharedAccessDefWatch');
     DeleteService('SharedAccessaspnet_state');
     DeleteService('RpcSsusprserv');
     DeleteService('RpcLocatorRasMan');
     DeleteService('RasManSCardSvr');
     DeleteService('PlugPlayNtmsSvc');
     DeleteService('NtmsSvcSCardSvr');
     DeleteService('NtmsSvcImapiService');
     DeleteService('NetlogonBITSSSDPSRV');
     QuarantineFile('C:\WINDOWS\system32\adsnwo.exe','');
     DeleteService('NetDDEstisvc');
     DeleteService('NetDDEdsdmDnscache');
     DeleteService('MSDTCRasAutoAudioSrv');
     DeleteService('MSDTCRasAuto');
     DeleteService('mnmsrvcCryptSvcWebClient');
     DeleteService('mnmsrvcCryptSvcERSvc');
     DeleteService('mnmsrvcCryptSvc');
     DeleteService('HidServ Licensing Service');
     DeleteService('helpsvcSharedAccess');
     DeleteService('ETOKSRVlanmanserver');
     DeleteService('ERSvcImapiService');
     DeleteService('CiSvcRpcLocator');
     DeleteService('AppleNetDDEdsdmDnscacheShellHWDetection');
     DeleteService('AppleNetDDEdsdmDnscache');
     DeleteService('AppleEventSystem');
     QuarantineFile('srv.exe','');
     QuarantineFile('c:\windows\services.exe','');
     TerminateProcessByName('c:\windows\services.exe');
     DeleteFile('c:\windows\services.exe');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Hmb52.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winac50.sys');
     DeleteFile('C:\Documents and Settings\Demyanov\Demyanov.exe');
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('C:\file.bat ');
     DeleteFile('crypts.dll');
     DeleteFile('msansspc.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    Карантин выслал. Выложил логи.

  5. #4
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    логи
    Вложения Вложения

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('digeste.dll');
     DeleteFile('C:\System Volume Information\_restore{0CFBA80E-7F33-48C8-940B-B6694088CDC2}\RP87\A0035468.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Этот файл adsnwo.exe пришлите согласно приложению 2 правил, повторите пункт 2 диагностики...

  7. #6
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    Выслать файл adsnwo.exe не получаеться выдает следующие:
    Ошибка карантина файла, попытка прямого чтения (adsnwo.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\adsnwo.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\adsnwo.exe)
    Карантин с использованием прямого чтения - ошибка
    Вложения Вложения

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    А ручками его в указанных директориях можете найти?

  9. #8
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    Ручками могу посмотреть - как его вам переслать если он там есть? Тока это будет завтра.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Запаковать в архив с паролем "virus" и прислать по красной ссылке вверху темы...

  11. #10
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    Файл найти не получилось ((.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('NetlogonBITS');
     DeleteFile('C:\WINDOWS\system32\adsnwo.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('NetlogonBITS');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  13. #12
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    Скрипт выпонил.
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\svschost.exe','');
     DeleteFile('C:\WINDOWS\system32\svschost.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  15. #14
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    Выполнил.
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    В логах чисто, установите SP3+all updates...

  18. #17
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    29
    Спасибо огромное за помощь

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 73
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\demyanov\\demyanov.exe - Trojan-Downloader.Win32.Small.aioy (DrWEB: Trojan.DownLoad.2359
      2. c:\\system volume information\\_restore{0cfba80e-7f33-48c8-940b-b6694088cdc2}\\rp87\\a0035468.dll - Trojan.Win32.Pakes.mmo (DrWEB: Trojan.Botnetlog.3)
      3. c:\\windows\\services.exe - Backdoor.Win32.Agent.abhn (DrWEB: Trojan.Spambot.3584)
      4. c:\\windows\\system32\\digeste.dll - Trojan.Win32.Pakes.mmo (DrWEB: Trojan.Botnetlog.3)


  • Уважаемый(ая) ddv79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. На виртуальной машине Троян
      От Galaiey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.05.2012, 23:02
    2. Вирусы на машине.
      От Михаил_83 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 11.12.2010, 17:11
    3. Ответов: 0
      Последнее сообщение: 14.07.2010, 13:34
    4. Множественные вирусы на машине
      От Niven в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.11.2009, 21:49
    5. Вирус на машине, livecd не находит ничего
      От paul.mad в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 27.04.2009, 20:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00727 seconds with 21 queries