Заловил троян руками, антивирусы молчат.

[AlrxSan]

Windows 2008 server
Стоит Symantec Endpoint Protection 11
Все легальное.
После пререзагрузки сервер не видится в локалке, горит иконка в трее с красным крестом (как бы отключен сетевой кабель)
хотя реально сетка есть и интернет работает.
В центр управления сети войти не мог - висяк.
Тотал коммандер не запускался - висяк.
Установка и удаление программ не работает - выдает сообщение, что какой-то uninstall уже работает - типа ждите...
Комп дико тормозит.
Прогнал AVZ, Cureit, SpywareTerminator - никакого эффекта.
Проверил что в автозагрузке - Сидит родимый...
Причем в c:\users\администратор\appdata\local\
Заловил троян руками, антивирусы молчат.

В искомой папке подозрительных файлов было несколько
но реально работал umksk.exe (см. вложение)
К сему еще имелся батник... (см.вложение)

Почистил папку руками - безобразия прекратились.
Отсюда вопрос:
Я что, какой-то свежак придушил? И что это за пакость?

[thyrex]

Уберите вредоносное вложение и выполните http://virusinfo.info/showthread.php?t=1235

[AlrxSan]

Карантин выслал.
Но поскольку уже вычистил руками, то боюсь логи бессмысленны...
Два вложил, а один AVZ обещает сделать часов через 7

[Rene-gad]

один AVZ обещает сделать часов через 7

Вот как раз этот лог нужно сделать ПЕРВЫМ, а потом - все остальные. Читайте правила.

[AlrxSan]

Не знаю с чем это связано, но через 5 часов работы AVZ просто закрылся, не сделав лог

[Rene-gad]

Что-то у Вас не то
- Отключите Системное восстановление.
- Очистите темп-папки, кэш проводников и корзину.
Потом запустите АВЗ.

[AlrxSan]

Как я уже написал выше у меня 2008 Sever ...
В нем НЕТ системного восстановления
А темпы я естественно почистил...
Кстати сегодня он показывает 12 часов до окончания работы...
На настоящий момент проверяется папка ...
ps
Кажется понял что происходит. Привет Билли... блин.
Дело в том что в 2008 Server НЕТ папки Documents and Settings вместо нее папка USERS
Для совместимости есть линк Documents and Settings который ведет на папку USERS
Так-же нет папки All Users внутри папки USERS, а вместо нее линк с этим именем на папку ProgramData
Ну и так далее...
Причем внутри Program Data нет папки Application Data, а есть линк с этим именем, который ведет ОБРАТНО на ProgamData ...
В результате AVZ посто ЗАЦИКЛИВАЕТСЯ на проверке этой папки и ПАДАЕТ по переполнению.
Похоже, что для 2008 Server нужен другой скрипт

[Rene-gad]

Как я уже написал выше у меня 2008 Sever ...

Точно У Вас 64-битная система? Тогда АВЗ нам не поможет....

[AlrxSan]

Нет, система 32 битная
Просто эти обормоты с линками и новыми именами папок намудрили

Может даже Зайцева придется просить, т.к надо менять принцип перебора файлов. Чтобы AVZ по линкам не ходил. А только по реальным папкам

[Rene-gad]

Похоже, что для 2008 Server нужен другой скрипт

Это СТАНДАРТНЫЙ скрипт, другого нет. И вообще в логе ничего враждебного не видно

Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

???

Может даже Зайцева придется просить, т.к надо менять принцип перебора файлов.

Просить можно - спрос не бъет в нос...

[AlrxSan]

Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Это я полиморфный AVZ 4.32 пытался использовать...
Вроде версия посвежее.
В нем база не обновляется...
Но больному это не помогло...

[Rene-gad]

Это я полиморфный AVZ 4.32 пытался использовать...

AVZ 4.30

[AlrxSan]

Aleksandra
Lady Helper
У нее в подписи ссылка на этот полиморф...
Щас переделаю на 4.30

[Rene-gad]

Щас переделаю на 4.30

Так Вы же уже в ЭТОЙ версии сделали - см. Ваш же лог в Вашем же сообщении #3.

[AlrxSan]

Я уже сам запутался...
Короче выложил сегодняшний...
Хотя меня больше интересует, что за exe-шник я заловил...
В дизасемблировании я слаб...
Еще под ДОСом что-то понимал, а сейчас - увы...

еще в реестре таинственная неудаляемые записи с именем
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\o vfsthcepvoxrwqrdsjxjbryvfbaibekimotup
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\o vfsthcepvoxrwqrdsjxjbryvfbaibekimotup
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup

Внутри - пусто

[thyrex]

Дополнительно к стандартным логам сделайте и такой http://virusinfo.info/showthread.php?t=40118

[AlrxSan]

GMER работает...
сразу скажу: IceSword не запускается
проверил отправленные в карантин файлы на сайте virustotal: 4\41

Кстати, прогнал SpyBot S&D ... Dll-ки он побил обозвав их win32.tdss.rtk, а реестр чистить не стал

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup
gmer.exe -del file "c:\windows\system32\drivers\ovfsthltcenpbxwixbkxegwxqsqpixfurchnxy.sys"
gmer.exe -del file "c:\windows\system32\ovfsthhgwfrmpmedvbmmjnyvqupryrkqawwnlj.dll"
gmer.exe -del file "c:\windows\system32\ovfsthboubmqkcutjatwxcjfpdnwscnupdiunw.dat"
gmer.exe -del file "c:\windows\system32\ovfsthhoautesyegqpcdikvwwkstbumgvkpidr.dll"
gmer.exe -del file "c:\windows\system32\ovfsthobrnnwyxwvetnfqjiwwvdmramnbfapov.dll"
gmer.exe -del file "c:\windows\system32\ovfsthahpfqlssplswkdqkimbhdbvccvwunacs.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[AlrxSan]

Ничего не вышло ...
На все строки батника выскивало окошко "Отказано в доступе"

[PavelA]

Лог Гмера повторите.