Junior Member
Вес репутации
55
Trojan.MulDrop.29287 + другие
вчера drweb начал ловить периодически при активном подключении к интернету:
C:\WINDOWS\system32\ZYSSGK\000.exe - инфицирован Trojan.MulDrop.29287
C:\WINDOWS\system32\ZYSSGK\001.exe\data002 - инфицирован Trojan.Siggen.2150
C:\WINDOWS\system32\ZYSSGK\X001.exe - инфицирован Trojan.Inject.5347
полное сканирование ничего не находит, но как только подключаешься к инету - через 5-10 минут ловит.
спасибо
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вот это -
Код:
C:\WINDOWS\system32\MyService.exe
- не ваши собственные опыты по программированию? Если нет, пофиксите с помощью Hijackthis строчки
Код:
O4 - S-1-5-18 Startup: is-NH1BH.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: is-NH1BH.lnk = ? (User 'Default user')
O4 - Startup: is-NH1BH.lnk = ?
Программа AVZ - файл - выполнить скрипт - выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\myservice.exe');
TerminateProcessByName('c:\windows\system32\dftp\smss.exe');
SetServiceStart('svcname', 4);
StopService('svcname');
SetServiceStart('FuscSvc', 4);
StopService('FuscSvc');
SetServiceStart('bbbbbbbbbb', 4);
StopService('bbbbbbbbbb');
QuarantineFile('C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\TDQOPFFM.exe','');
QuarantineFile('c:\windows\system32\myservice.exe','');
QuarantineFile('c:\windows\system32\dftp\smss.exe','');
DeleteFile('c:\windows\system32\dftp\smss.exe');
BC_DeleteFile('c:\windows\system32\dftp\smss.exe');
DeleteFile('c:\windows\system32\myservice.exe');
BC_DeleteFile('c:\windows\system32\myservice.exe');
DeleteFile('C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\TDQOPFFM.exe');
BC_DeleteFile('C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\TDQOPFFM.exe');
DeleteService('svcname');
DeleteService('FuscSvc');
DeleteService('bbbbbbbbbb');
BC_DeleteSvc('svcname');
BC_DeleteSvc('FuscSvc');
BC_DeleteSvc('bbbbbbbbbb');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=43427 , как написано в прил.3 правил, и повторите логи.
Junior Member
Вес репутации
55
Большое Вам спасибо! Помогло
Junior Member
Вес репутации
55
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Program Files\movie makerr\movie.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
end.
Пришлите карантин...
Junior Member
Вес репутации
55
отправил карантин. действительно сидит еще зараза.
только вставишь флешку - пишет autorun.inf и setup.exe на нее, DRWEB с последним обновлением баз не ловит
Наверное, все же, так: программа AVZ - файл - выполнить скрипт - выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Logical Disk Manager Administr', 4);
SetServiceStart('BackGround switch', 4);
QuarantineFile('C:\Program Files\movie makerr\movie.exe','');
QuarantineFile('c:\windows\system32\sloop.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
BC_DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('c:\windows\system32\sloop.dll');
BC_DeleteFile('c:\windows\system32\sloop.dll');
DeleteFile('C:\Program Files\movie makerr\movie.exe');
BC_DeleteFile('C:\Program Files\movie makerr\movie.exe');
DeleteService('Logical Disk Manager Administr');
DeleteService('BackGround switch');
BC_DeleteSvc('Logical Disk Manager Administr');
BC_DeleteSvc('BackGround switch');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, повторите логи.
Еще не забыть зайти в раздел "Чаво" и отключить автозапуск флешек.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Готово. На флешку перестало писать. А писало svсhost.exe переименованный в setup.exe.
Вложения
По-моему, чисто. Проблемы видимые остались какие-нибудь?
По совету PavelA , отключите автозапуск и, если система лицензионная, установите SP3 + все последующие обновления.
Junior Member
Вес репутации
55
спасибо огромное, видимых проблем не осталось.
лицензия есть, срочно устанавливаю SP3 и обновления.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\dftp\smss.exe - Trojan-Downloader.Win32.VB.lou ( BitDefender: Gen:Trojan.Heur.VB.1024DBEBEB ) c:\windows\system32\myservice.exe - Trojan.Win32.Small.bwp ( BitDefender: Trojan.Rincux.AW ) c:\windows\system32\regedit32.exe - Worm.Win32.AutoRun.adxr ( BitDefender: GenPack:Trojan.Spy.Agent.NZO )