-
Junior Member
- Вес репутации
- 60
Посторонние процессы и службы
ОС 2003 сервер. Недавно начали появляться какие то левые процессы и службы, с именами типа afsf, asfdsc, fafa и тд. Их кол-во множилось и машина начинала тормозить.
Симантек ругался на вирусы, изолировал файлы, но процессы все равно появлялись и тормозили работу. Удаление файлов, служб и атозапуска их из реестра руками тоже не помогло.
Отключил симантек, проверил Cureit"ом в обычном режиме, нашлось около 30 вирусов: BackDoor.ClDdos.3, Trojan.DownLoad.хххх, BackDoor.Fanchi и тд
(Логи выкладываю. System recovery в 2003 не нашел. Проверить в безопасном режиме не смог, потому что пришлось делать это удаленно, но если будет нужно - сделаю)
Последний раз редактировалось Gamil; 13.11.2009 в 00:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ запущен из терминальной сессии
Все нужно делать в локальной сессии
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
-Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('wtesk');
StopService('WinHelp32');
StopService('ufad-dns60');
StopService('ttesk');
StopService('tdfgrsh');
StopService('stesk');
StopService('st');
StopService('Servicev2.0');
StopService('kstesk');
StopService('gvfsdf');
StopService('GmPnSNP');
StopService('fsdfsd');
StopService('fhfy');
StopService('fdsgf');
StopService('fdgh');
StopService('fbhgfn');
StopService('DmPnSN');
StopService('dcafd');
StopService('c cxz');
StopService('bstesk');
StopService('assdsf');
StopService('asfc');
StopService('afdea');
StopService('aefre');
QuarantineFile('WinHelp32.sys','');
QuarantineFile('ufad-dns60.sys','');
QuarantineFile('tdfgrsh.sys','');
QuarantineFile('Servicev2.0','');
QuarantineFile('kstesk.sys','');
QuarantineFile('GmPnSNP.sys','');
QuarantineFile('fsdfsd.sys','');
QuarantineFile('dcafd.sys','');
QuarantineFile('C:\WINDOWS\system32\Y3ITLGT44J\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\wtesk.exe','');
QuarantineFile('C:\WINDOWS\system32\ttesk.exe','');
QuarantineFile('C:\WINDOWS\system32\szrky.exe','');
QuarantineFile('C:\WINDOWS\system32\stesk.exe','');
QuarantineFile('C:\WINDOWS\system32\server.exe','');
QuarantineFile('C:\WINDOWS\system32\ktesk.exe','');
QuarantineFile('C:\WINDOWS\system32\bstesk.exe','');
QuarantineFile('C:\WINDOWS\system32\59RWL8ILTS\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\4UYKT1NSBT\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\2NJK399S7M\J001.exe','');
QuarantineFile('C:\WINDOWS\gfdgf.exe','');
QuarantineFile('C:\WINDOWS\fvd.exe','');
QuarantineFile('C:\WINDOWS\asfdasfd.exe','');
QuarantineFile('C:\DOCUME~1\techsell\LOCALS~1\Temp\1\Gt2Fr6r7.sys','');
QuarantineFile('assdsf.sys','');
QuarantineFile('aefre.sys','');
QuarantineFile('%SystemRoo.exe','');
DeleteFile('WinHelp32.sys');
DeleteFile('ufad-dns60.sys');
DeleteFile('Servicev2.0');
DeleteFile('kstesk.sys');
DeleteFile('GmPnSNP.sys');
DeleteFile('fsdfsd.sys');
DeleteFile('fdgh.sys');
DeleteFile('dcafd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\WinHelp32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ufad-dns60.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Servicev2.0');
DeleteFile('C:\WINDOWS\system32\drivers\kstesk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\GmPnSNP.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fsdfsd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fdgh.sys');
DeleteFile('C:\WINDOWS\system32\drivers\dcafd.sys');
DeleteFile('C:\WINDOWS\system32\Y3ITLGT44J\J001.exe');
DeleteFile('C:\WINDOWS\system32\wtesk.exe');
DeleteFile('C:\WINDOWS\system32\ttesk.exe');
DeleteFile('C:\WINDOWS\system32\szrky.exe');
DeleteFile('C:\WINDOWS\system32\stesk.exe');
DeleteFile('C:\WINDOWS\system32\server.exe');
DeleteFile('C:\WINDOWS\system32\ktesk.exe');
DeleteFile('C:\WINDOWS\system32\bstesk.exe');
DeleteFile('C:\WINDOWS\system32\59RWL8ILTS\J001.exe');
DeleteFile('C:\WINDOWS\system32\4UYKT1NSBT\J002.exe');
DeleteFile('C:\WINDOWS\system32\2NJK399S7M\J001.exe');
DeleteFile('C:\WINDOWS\gfdgf.exe');
DeleteFile('C:\WINDOWS\fvd.exe');
DeleteFile('C:\WINDOWS\asfdasfd.exe');
DeleteFile('C:\DOCUME~1\techsell\LOCALS~1\Temp\1\Gt2Fr6r7.sys');
DeleteFile('C:\WINDOWS\system32\drivers\assdsf.sys');
DeleteFile('C:\WINDOWS\system32\drivers\aefre.sys');
DeleteFile('%SystemRoo.exe');
DeleteFile('C:\WINDOWS\system32\SystemRoo.exe');
DeleteFile('C:\WINDOWS\SystemRoo.exe');
DeleteService('wtesk');
DeleteService('WinHelp32');
DeleteService('ufad-dns60');
DeleteService('ttesk');
DeleteService('tdfgrsh');
DeleteService('stesk');
DeleteService('Servicev2.0');
DeleteService('kstesk');
DeleteService('gvfsdf');
DeleteService('fhfy');
DeleteService('fdsgf');
DeleteService('fdgh');
DeleteService('DmPnSN');
DeleteService('dcafd');
DeleteService('c cxz');
DeleteService('bstesk');
DeleteService('assdsf');
DeleteService('asfc');
DeleteService('afdea');
DeleteService('aefre');
DeleteFileMask('C:\DOCUME~1\techsell\LOCALS~1\Temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('wtesk');
BC_DeleteSvc('WinHelp32');
BC_DeleteSvc('ufad-dns60');
BC_DeleteSvc('ttesk');
BC_DeleteSvc('tdfgrsh');
BC_DeleteSvc('stesk');
BC_DeleteSvc('Servicev2.0');
BC_DeleteSvc('kstesk');
BC_DeleteSvc('gvfsdf');
BC_DeleteSvc('fhfy');
BC_DeleteSvc('fdsgf');
BC_DeleteSvc('fdgh');
BC_DeleteSvc('DmPnSN');
BC_DeleteSvc('dcafd');
BC_DeleteSvc('c cxz');
BC_DeleteSvc('bstesk');
BC_DeleteSvc('assdsf');
BC_DeleteSvc('asfc');
BC_DeleteSvc('afdea');
BC_DeleteSvc('aefre');
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-