вирусы, ошибка svchost,проблеммы с интернет

**kdbot** · 23.10.2009, 07:38

Здравствуйте, на server2003 появились вирусы- он является шлюзом интернет, появляется ошибка Generic Host Process for Win32 Services. Шлюзует через UserGate 4. Антивирусом стоит Symantec AntiVirus 8.1 server.
вирусы проявляют себя созданием в system32 различных каталогов с непонятными именами в которых лежат файлы *exe. Имена файлов примерно такие E001.exe ; Также подобные файлы встречаются в Default User/Temporary Internet Files/*непонятная папка*

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 23.10.2009, 08:11

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\RmmrtmC.dll','');
 QuarantineFile('C:\WINDOWS\system32\G0NCYV085L\E001.exe','');
 QuarantineFile('C:\WINDOWS\system32\foxshell.exe','');
 QuarantineFile('C:\WINDOWS\system32\firefox2.exe','');
 QuarantineFile('C:\WINDOWS\system32\G0NCYV085L\J001.exe','');
 QuarantineFile('C:\WINDOWS\system32\G0NCYV085L\G001.exe','');
 QuarantineFile('C:\WINDOWS\System32\AdvanceLink\smss.exe','');
 QuarantineFile('C:\WINDOWS\system32\Yfdsba.exe','');
 QuarantineFile('C:\WINDOWS\system32\spool\drivers\systempro.exe','');
 QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
 QuarantineFile('C:\WINDOWS\system32\LBUZ3VUAFK\J001.exe','');
 QuarantineFile('C:\WINDOWS\system32\LBUZ3VUAFK\E001.exe','');
 QuarantineFile('C:\WINDOWS\system32\cnzyk.exe','');
 QuarantineFile('c:\windows\system32\agerunsrv.dll','');
 QuarantineFile('C:\WINDOWS\feafvxx.exe','');
 DeleteFile('C:\WINDOWS\feafvxx.exe');
 DeleteFile('c:\windows\system32\agerunsrv.dll');
 DeleteFile('C:\WINDOWS\system32\cnzyk.exe');
 DeleteFile('C:\WINDOWS\system32\LBUZ3VUAFK\E001.exe');
 DeleteFile('C:\WINDOWS\system32\LBUZ3VUAFK\J001.exe');
 DeleteFile('C:\WINDOWS\system32\nssm.exe');
 DeleteFile('C:\WINDOWS\system32\spool\drivers\systempro.exe');
 DeleteFile('C:\WINDOWS\system32\Yfdsba.exe');
 DeleteFile('C:\WINDOWS\System32\AdvanceLink\smss.exe');
 DeleteFile('C:\WINDOWS\system32\G0NCYV085L\G001.exe');
 DeleteFile('C:\WINDOWS\system32\G0NCYV085L\J001.exe');
 DeleteFile('C:\WINDOWS\system32\firefox2.exe');
 DeleteFile('C:\WINDOWS\system32\foxshell.exe');
 DeleteFile('C:\WINDOWS\system32\G0NCYV085L\E001.exe');
 DeleteFile('C:\WINDOWS\system32\RmmrtmC.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=58036).
Сделайте новые логи.

**kdbot** · 23.10.2009, 09:03

вот новые логи, карантин тоже загрузил

**Bratez** · 23.10.2009, 09:10

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\gmugy.exe','');
 DeleteFile('C:\WINDOWS\system32\gmugy.exe');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

**kdbot** · 23.10.2009, 09:27

карантин выложил

**Bratez** · 23.10.2009, 09:41

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\spool\drivers\systempro.exe');
 DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Повторите п.2 Диагностики.

**kdbot** · 23.10.2009, 10:33

вот лог

**Макcим** · 23.10.2009, 10:45

Выполните скрипт в AVZ

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\spool\drivers\BWProxyClient.exe','');
 RebootWindows(false);
end.

Загрузите карантин согласно приложению №3 правил.

**kdbot** · 23.10.2009, 11:13

карантин выложил, кстати, сервер все равно reebotнулся

**Макcим** · 23.10.2009, 11:37

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('NetworkAnalysisService');
 DeleteService('NetworkAnalysisService');
 DeleteFile('C:\WINDOWS\system32\spool\drivers\systempro.exe');
 DeleteFile('C:\WINDOWS\system32\spool\drivers\BWProxyClient.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 ExecuteWizard('TSW', 1, 1, true);
 ExecuteWizard('BT', 1, 1, true);
 RebootWindows(false);
end.

Повторите п.2 Диагностики.

**kdbot** · 23.10.2009, 12:30

повторил

**Bratez** · 23.10.2009, 14:49

Чисто. Что с проблемами?

**CyberHelper** · 24.10.2009, 14:49

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 33
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\feafvxx.exe - Backdoor.Win32.Chyopic.x ( DrWEB: BackDoor.ClDdos.5, AVAST4: Win32:Trojan-gen )
2. c:\windows\system32\advancelink\smss.exe - Backdoor.Win32.SdBot.pqv ( DrWEB: Trojan.DownLoad.50462 )
3. c:\windows\system32\agerunsrv.dll - Trojan-Downloader.Win32.Agent.csnn ( DrWEB: Trojan.DownLoad.55495, BitDefender: Trojan.Agent.ANUH )
4. c:\windows\system32\cnzyk.exe - Trojan-Dropper.Win32.Agent.baqr ( DrWEB: Trojan.DownLoad.55496, BitDefender: Trojan.Crypt.EL, AVAST4: Win32:Rincux-C [Trj] )
5. c:\windows\system32\lbuz3vuafk\e001.exe - Trojan.Win32.Scar.afsb ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
6. c:\windows\system32\lbuz3vuafk\j001.exe - Trojan.Win32.Scar.afsa ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
7. c:\windows\system32\nssm.exe - Trojan-Dropper.Win32.Decay.cim
8. c:\windows\system32\rmmrtmc.dll - Backdoor.Win32.Nbdd.bi ( DrWEB: BackDoor.Siggen.138, BitDefender: MemScan:Trojan.Agent.ANCD, AVAST4: Win32:PcClient-ZE [Trj] )
9. c:\windows\system32\spool\drivers\bwproxyclient.ex e - Trojan.Win32.Agent.czrz ( DrWEB: Trojan.Proxy.6172, BitDefender: Trojan.Agent.ANCD, AVAST4: Win32:Dogrobot [Drp] )
10. c:\windows\system32\spool\drivers\systempro.exe - Trojan.Win32.Agent.czsa ( DrWEB: Trojan.Proxy.5869, BitDefender: Trojan.Agent.ANCD, AVAST4: Win32:Dogrobot [Drp] )
11. c:\windows\system32\winhelp32.exe - Backdoor.Win32.Httpbot.aaq ( DrWEB: BackDoor.Darkshell.96, BitDefender: Gen:Trojan.Heur.bm0@uCENSbgb, AVAST4: Win32:Trojan-gen )
12. c:\windows\system32\yfdsba.exe - Trojan.Win32.Scar.aeqf ( DrWEB: DDoS.Attack.230, BitDefender: Trojan.Agent.ANCD, AVAST4: Win32:Dogrobot [Drp] )

вирусы, ошибка svchost,проблеммы с интернет (заявка № 58036)

Опции темы

вирусы, ошибка svchost,проблеммы с интернет

Итог лечения

Похожие темы

у меня выскакивает ошибка svchost.exe ошибка приложения инструкция по адресу 0x6fe217c2

ошибка svchost.exe и вирусы

Вирусы, ошибка svchost.exe

Проблеммы с svchost.exe

Svchost.exe - ошибка приложения, перестал работать Интернет

Метки для этой темы

Ваши права в разделе