Показано с 1 по 16 из 16.

backdoor qsaf.exe (заявка № 51342)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28

    Thumbs down backdoor qsaf.exe

    Создаёт в папке system32/drivers файл qsaf.exe (после повторного лечения - zgmh.exe), которые cure it не детектируются, кучу файлов замаскированных под скринсейверы - определяются cure it как вирус типа letmein.

    В автозагрузку прописывает созданный файл в виде windows драйвера.

    После лечения проходит некоторое время - в память загружается процесс (81.scr, 31,scr), который пытается создать исполняемый файл в папке drivers (см. выше) и создаёт в папке system32 log файл, который периодически читает (по данным filemon) ничего в него не записывая.
    Также создаёт в корне диска с исполняемый файл со случайным названием.
    Вложения Вложения
    Последний раз редактировалось d2boy; 05.08.2009 в 20:46. Причина: Карантин в тему - нельзя

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    - у нас, что, правила поменялись?..
    - или этот топик носит исключительно информационный характер?.. ну, тогда ему место не в этом разделе.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    - у нас, что, правила поменялись?..
    Извиняюсь, не те файлы приложил, делал ночью
    Слишком путано описано.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от d2boy Посмотреть сообщение
    делал ночью
    Ночью спать надо.
    Цитата Сообщение от d2boy Посмотреть сообщение
    Слишком путано описано.
    Какой именно пункт правил вас запутал?

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28
    Поправил пост.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Какой именно пункт правил вас запутал?
    1 и 2, лучше б картинками всё было сделано, ИМХО.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    virusinfo_syscure.zip прикрепите.

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28
    Цитата Сообщение от pig Посмотреть сообщение
    virusinfo_syscure.zip прикрепите.
    Прикрепил

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\system32\02.scr');
     QuarantineFile('c:\windows\system32\02.scr','');
     DeleteFile('c:\windows\system32\02.scr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (в нормальном режиме)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28
    Всё прикрепил

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте новые логи (в нормальном режиме)
    ???

  12. #11
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28
    Прикрепляю
    Вложения Вложения

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2916
    Пофиксить в HiJack
    Код:
     F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Jwrb.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Jwrb.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\Jwrb.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\Jwrb.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28
    Проблема с разрывом соединения сохранилась

    Пытается создать winlogon.exe, Isass.exe лезет на какие-то сервера
    Источник - файлы scr
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 12.08.2009 в 12:42.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от d2boy Посмотреть сообщение
    Проблема с разрывом соединения сохранилась

    Пытается создать winlogon.exe, Isass.exe лезет на какие-то сервера
    Источник - файлы scr
    файл Isass.exe в логах не виден.
    Проверьтесь на файловые вирусы, потом сделайте лог GMER

  16. #15
    Junior Member Репутация
    Регистрация
    19.06.2009
    Сообщений
    8
    Вес репутации
    28

    Тему можно закрыть

    Переставил систему

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,548
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) d2boy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. пропадает доступ в сеть, был найден qsaf.exe
      От Чижъ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.09.2009, 15:43
    2. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
      От dimonavia в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 11.02.2008, 12:55
    3. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00
    4. Новый тип Backdoor - вероятно Backdoor.Delf.??
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 10.02.2005, 15:14
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00789 seconds with 24 queries