Junior Member
Вес репутации
55
Зараза bcb4c0f9531f.exe - Ошибка приложения(0xc0000142)
Здравствуйте.
Примерно раз в полчаса появляется в памяти новый процесс с именем вида bcb4c0f9531f.exe, когда их в памяти накапливается около десятка то на экран выводится соообщение:
"bcb4c0f9531f.exe - Ошибка приложения : Ошибка при инициализации приложения (0xc0000142)".
Этот файл создается в каталоге C :\ Documents and Settings \ NetworkService \ Local Settings \ Temp и является самораспаковывающимся архивом с заразой:
comsa32.sys
dncyool32.sys
dpcxool64.sys
sopidkc.exe
tpsaxyd.exe
Помогите, пожалуйста.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\d06ae6802ce.exe');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\3d7ba1854e0.exe');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\838aec253d7.exe');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\27d05b495e9.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\d06ae6802ce.exe','');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\838aec253d7.exe','');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\3d7ba1854e0.exe','');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\27d05b495e9.exe','');
QuarantineFile('C:\WINDOWS\system32\wm9dap-sos.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3967153091-1803158144-3756195585-1116\Dc1\tpsaxyd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3967153091-1803158144-3756195585-1116\Dc1\sopidkc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3967153091-1803158144-3756195585-1116\Dc1\dncyool32.sys','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temp\d06ae6802ce.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temp\838aec253d7.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Plugin\i386\SPCommand.sys','');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\27d05b495e9.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\3d7ba1854e0.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\838aec253d7.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\d06ae6802ce.exe');
DeleteFile('C:\Documents and Settings\rachkin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temp\838aec253d7.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temp\d06ae6802ce.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3967153091-1803158144-3756195585-1116\Dc1\dncyool32.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-3967153091-1803158144-3756195585-1116\Dc1\sopidkc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3967153091-1803158144-3756195585-1116\Dc1\tpsaxyd.exe');
DeleteFile('C:\WINDOWS\system32\wm9dap-sos.dll');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temp', '*.*', true);
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=47175
Повторите логи по правилам.
Junior Member
Вес репутации
55
Зараза bcb4c0f9531f.exe
Да, еще, куреит не запускается - ch89q.exe - обнаружена ошибка
Вложения
Скрипт
Код:
begin
CLearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\54f2b8211c0.exe');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\25865a0b2c9.exe');
QuarantineFile('PGPmapih.dll','');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\25865a0b2c9.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\54f2b8211c0.exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Шлём карантин.
Повторяем логи.
Junior Member
Вес репутации
55
Карантин почемуто оказался пустой после выполнения последнего скрипта.
Высылаю только логи.
Карантин, который создался после выполнения стандартных скриптов, высылать?
Вложения
Не слать.
Сделайте полную проверку AVPTool или CureIt...
И сделайте лог этим AVZ http://depositfiles.com/files/j3apocwxd .
Ощущение, что McAfee не даёт AVZ отработать...
Junior Member
Вес репутации
55
McAfee удалил перед первым обращением, хвост от него нашел, удалил, правда после создания новых логов.
AVPTool ничего не нашел.
CureIt не запускается - ch89q.exe - обнаружена ошибка, в безопасном режиме тоже.
Новые логи прилагаю.
Вложения
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\Plugin\i386\SPCommand.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ae1nse6d.SYS','');
QuarantineFile('c:\Temp\aujasnkj.sys','');
DeleteFile('c:\Temp\aujasnkj.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ae1nse6d.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Загрузить карантин, если будет не пустым, по Правилам через http://virusinfo.info/upload_virus.php?tid=47175
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Вложения
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Сорри, парни. домой выгнали.
Да проблемы остались. ничего не изменилось
Последний раз редактировалось SergeyR; 05.06.2009 в 05:36 .
Ничего подозрительного в логах не вижу...
I am not young enough to know everything...
Junior Member
Вес репутации
55
вот щас машина постояла и опять есть эти процессы от svchost.exe появились
опять есть эти процессы от svchost.exe появились
Чего?
Junior Member
Вес репутации
55
...
вот такая вот фигня происходит...
может новые логи сделать?
вот сдела. гляньте пожалуйста еще раз, может найдем корень зла?
Вложения
Последний раз редактировалось SergeyR; 05.06.2009 в 11:45 .
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\85711328.sys','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\fc6bbe61106f.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\fc6bbe61106f.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\ee6bbe421a46.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\ee6bbe421a46.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\d49450f31c69.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\d49450f31c69.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\d2874bf8f60.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\d2874bf8f60.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\ce8e81c17f1.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\ce8e81c17f1.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\cc37e3f815ee.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\cc37e3f815ee.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\be20f07416ff.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\be20f07416ff.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\b91b1efb6e9.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\b91b1efb6e9.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\aff92c521b5f.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\aff92c521b5f.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\af3c393a1c0.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\af3c393a1c0.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\ad62f6921185.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\ad62f6921185.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\9c7d9258c24.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\9c7d9258c24.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\9c4920d94d8.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\9c4920d94d8.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\8e8c27ecd38.exe');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\9790d0ade49.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\9790d0ade49.exe','');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\8e8c27ecd38.exe','');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\8d2f074f3cf.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\79f3aff3a0a.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\79f3aff3a0a.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\6668f8855e1.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\6668f8855e1.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\458ef1d08fa.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\458ef1d08fa.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\3ea9937c1812.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\3ea9937c1812.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\3584398a1927.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\3584398a1927.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\346a6dd4129b.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\346a6dd4129b.exe','');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\12c179421d7d.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\12c179421d7d.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\2132437214dc.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\2132437214dc.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\2132437214dc.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\12c179421d7d.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\346a6dd4129b.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\3584398a1927.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\3ea9937c1812.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\458ef1d08fa.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\6668f8855e1.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\79f3aff3a0a.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\8d2f074f3cf.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\8e8c27ecd38.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\9790d0ade49.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\9c4920d94d8.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\9c7d9258c24.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\ad62f6921185.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\af3c393a1c0.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\aff92c521b5f.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\b91b1efb6e9.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\be20f07416ff.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\cc37e3f815ee.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\ce8e81c17f1.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\d2874bf8f60.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\d49450f31c69.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\ee6bbe421a46.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\fc6bbe61106f.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\85711328.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
'C:\WINDOWS\system32\DRIVERS\85711328.sys' - вот этого удали Gmerom.
После скрипт от Rene-gada.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
'C:\WINDOWS\system32\DRIVERS\85711328.sys' - такого файла нет
Какрантин удалил куреит при проверке с LiveCD.
Присылать нечего.
Выяснил что файлы с троянами в каталоге C :\ Documents and Settings \ NetworkService \ Local Settings \ Temp появляются после самостоятельного запуска процесса с именем mstsc.exe () и его соединением на адрес 123.175.126.245:6666 , это гдето у китайцев вроде.
Лишних пользователей в системе нет, пароли длинные по 10 символов, их менял, не помогает.
Так как надо работу работать переставил Винду.
Спасибо за участие, и извините что до конца не довел.
Сообщение от
SergeyR
mstsc.exe.
это системный файл. Возможно, что достаточно было его на здоровый из дистрибутива заменить. Хотя format c:\ конечно надежнее
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 38 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\networkservice\local settings\temp\d06ae6802ce.exe - Trojan.Win32.VB.qsz ( BitDefender: Trojan.VB.NYY ) c:\documents and settings\networkservice\local settings\temp\838aec253d7.exe - Trojan.Win32.VB.qsz ( BitDefender: Trojan.VB.NYY ) c:\docume~1\networ~1\locals~1\temp\d06ae6802ce.exe - Trojan.Win32.VB.qsz ( BitDefender: Trojan.VB.NYY ) c:\docume~1\networ~1\locals~1\temp\838aec253d7.exe - Trojan.Win32.VB.qsz ( BitDefender: Trojan.VB.NYY ) c:\recycler\s-1-5-21-3967153091-1803158144-3756195585-1116\dc1\dncyool32.sys - Trojan.Win32.VB.qsz ( BitDefender: Trojan.VB.NYY ) c:\recycler\s-1-5-21-3967153091-1803158144-3756195585-1116\dc1\sopidkc.exe - Trojan-Downloader.Win32.Delf.uch c:\recycler\s-1-5-21-3967153091-1803158144-3756195585-1116\dc1\tpsaxyd.exe - Trojan.Win32.Delf.nbk