Показано с 1 по 18 из 18.

непонятный Троян на SBS Win2003, файлы E001, j001 (заявка № 64767)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26

    Question непонятный Троян на SBS Win2003, файлы E001, j001

    SBS Win2003 сервер, AD,DC,Isa,Exchange в процессах появляются приложения e001 J002 и прочие, в сервисах появилась куча непонятных служб, в сэйв моде не грузится , уходит на перезагрузку. Антивир -Симантек Сервер. Что сделал удалил из windows\system32\ много папок со странными названиями и фалами e001.exe и j002.exe, отключил все службы с кривыми названиями, пытался запустить Cure IT, и AVP - не запускается, для Web просто подвисает, для AVP тоже ругается и не дает запустить.
    При загрузке не запускается служба BITS - фоновая интеллектуальная служба. По симптомам очень похоже на вот это http://virusinfo.info/showthread.php?t=58036
    Последний раз редактировалось Slavyan; 24.12.2009 в 09:06.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('acpi24Drv', 4);
     DeleteService('acpi24Drv');
     QuarantineFile('C:\WINDOWS\system32\s.exe','');
     DeleteService('sdewe DDOS Service');
     QuarantineFile('C:\WINDOWS\system32\YLG9TANBNW\J002.exe','');
     DeleteService('nhf');
     QuarantineFile('C:\WINDOWS\Atic.exe','');
     QuarantineFile('C:\WINDOWS\Ati2ezz.exe','');
     DeleteService('Ati2ezz');
     DeleteService('Atic');
     QuarantineFile('C:\WINDOWS\system32\iSql\E001.exe','');
     DeleteService('bd');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
     DeleteFile('C:\WINDOWS\system32\acpi24.sys');
     DeleteFile('C:\WINDOWS\system32\iSql\E001.exe');
     DeleteFile('C:\WINDOWS\Ati2ezz.exe');
     DeleteFile('C:\WINDOWS\Atic.exe');
     DeleteFile('C:\WINDOWS\system32\YLG9TANBNW\J002.exe');
     DeleteFile('C:\WINDOWS\system32\s.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Сделал, карантин тоже отправил.
    Последний раз редактировалось Slavyan; 24.12.2009 в 09:06.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
    DeleteFile('C:\WINDOWS\system32\acpi24.dll');
     DeleteService('ndg');
     QuarantineFile('C:\WINDOWS\system32\dvmk.exe','');
     QuarantineFile('C:\WINDOWS\system32\I2RP4CVI24\J002.exe','');
     DeleteService('gsrg');
     QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
     DeleteService('acpi24');
     DeleteFile('C:\WINDOWS\system32\acpi24.exe');
     DeleteFile('C:\WINDOWS\system32\I2RP4CVI24\J002.exe');
     DeleteFile('C:\WINDOWS\system32\dvmk.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Спасибо , что быстро реагируете, файлы приложу чуть позже. Забыл обозначить еще проблемы , может быть будут полезны. В диспетчере устройств все чисто,нет ни одной записи, также чисто и в сетевых подключениях. Хотя сеть работает.

  7. #6
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Здравствуйте, продолжаю выкладывать. Карантин отправил.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Есть новости, запустился AVP, нашел Trojan.downloader - в \windows\system32\userrunsrv.dll, удалил его , сервер перегрузил.
    Последний раз редактировалось Slavyan; 24.12.2009 в 16:02.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Что сейчас с проблемой?

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\yxxst.dll','');
     QuarantineFile('C:\WINDOWS\system32\ywkvu.dll','');
     QuarantineFile('C:\WINDOWS\system32\yutqq.dll','');
     QuarantineFile('C:\WINDOWS\system32\yuprb.dll','');
     QuarantineFile('C:\WINDOWS\system32\yuccg.dll','');
     QuarantineFile('C:\WINDOWS\system32\ypwby.dll','');
     QuarantineFile('C:\WINDOWS\system32\yjpen.dll','');
     QuarantineFile('C:\WINDOWS\system32\yglun.dll','');
     QuarantineFile('C:\WINDOWS\system32\ydlji.dll','');
     QuarantineFile('C:\WINDOWS\system32\xyqay.dll','');
     QuarantineFile('C:\WINDOWS\system32\xymtr.dll','');
     QuarantineFile('C:\WINDOWS\system32\xwdcc.dll','');
     QuarantineFile('C:\WINDOWS\system32\xvamu.dll','');
     QuarantineFile('C:\WINDOWS\system32\xouoq.dll','');
     QuarantineFile('C:\WINDOWS\system32\xlrjr.dll','');
     QuarantineFile('C:\WINDOWS\system32\xloxo.dll','');
     QuarantineFile('C:\WINDOWS\system32\xjnvb.dll','');
     QuarantineFile('C:\WINDOWS\system32\xikbt.dll','');
     QuarantineFile('C:\WINDOWS\system32\xenob.dll','');
     QuarantineFile('C:\WINDOWS\system32\xefoa.dll','');
     QuarantineFile('C:\WINDOWS\system32\wyqjd.dll','');
     QuarantineFile('C:\WINDOWS\system32\wxura.dll','');
     QuarantineFile('C:\WINDOWS\system32\wovcw.dll','');
     QuarantineFile('C:\WINDOWS\system32\wnqho.dll','');
     QuarantineFile('C:\WINDOWS\system32\wleqj.dll','');
     QuarantineFile('C:\WINDOWS\system32\wcogy.dll','');
     QuarantineFile('C:\WINDOWS\system32\vuahq.dll','');
     QuarantineFile('C:\WINDOWS\system32\vlrxr.dll','');
     QuarantineFile('C:\WINDOWS\system32\vieoa.dll','');
     QuarantineFile('C:\WINDOWS\system32\vhass.dll','');
     QuarantineFile('C:\WINDOWS\system32\vbhwn.dll','');
     QuarantineFile('C:\WINDOWS\system32\uyjqt.bmp','');
     QuarantineFile('C:\WINDOWS\system32\uxgdy.dll','');
     QuarantineFile('C:\WINDOWS\system32\utahy.dll','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Сделал, карантин отправил. По-проблемам: при старте сервера служба BITS не запускается, в диспетчере устройств и в сетевых подключениях пусто. Сервер работает стабильнее намного, сетевые диски не отваливаются. Хоть как-то можно жить. В ISе открыл только 80 порт, пока не видно стартующих процессов E001 и прочих, как было раньше. т.е доступ в интернет есть.
    Вложения Вложения
    Последний раз редактировалось Slavyan; 25.12.2009 в 17:30.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    C:\WINDOWS\system32\DWEWEServer.dll - новый зловред Rootkit.Win32.TDSS.qtu

    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFile('C:\WINDOWS\system32\DWEWEServer.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Проверьте, что восстановление системы у Вас включено и пробуйте сделать лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Скрипт выполнил, Гмер не может выполнить до конца скан, подвисает намертво . Или подвисает или вообще пропадает.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Защитное ПО отключаете? Если не помогает, попробуйте сделать лог в безопасном режиме
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Дополнительно проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636926
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    TDSSkiller, ничего не нашел, прикладываю ЛОГ Гмера
    Вложения Вложения
    • Тип файла: log gmer.log (49.4 Кб, 2 просмотров)

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    В логе чисто. Подозрение на руткит ложное

    Что с проблемой на данный момент?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Проблема такая, при перезагрузке не запускается служба BITS и вручную тоже не стартует, в сетевых подключениях чисто, в диспетчере устройств тоже чисто. В остальном все более менее стабильно. Осталось много мусора в службах.

  18. #17
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    26
    Службу BITS запустил, остались 2 проблемки, пустые диспетчер устройств и сетевые подrлючения

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 42
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\acpi24.dll - Trojan-Downloader.Win32.Agent.cyhc ( BitDefender: Trojan.Generic.2943212 )
      2. c:\windows\system32\acpi24.exe - Trojan.Win32.Mepaow.keh ( DrWEB: DDoS.5665, BitDefender: Trojan.Generic.2898041, AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\dweweserver.dll - Rootkit.Win32.TDSS.qtu ( DrWEB: Trojan.DownLoad.49092, BitDefender: Trojan.Generic.2932653, AVAST4: Win32:Malware-gen )
      4. c:\windows\system32\uyjqt.bmp - Trojan-PSW.Win32.Bjlog.dwm ( DrWEB: Trojan.Siggen.39568, AVAST4: Win32:Malware-gen )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Slavyan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 13
      Последнее сообщение: 18.02.2011, 21:33
    2. Ali.exe J001.exe D001.exe E001.exe ....
      От goser в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.12.2010, 23:55
    3. J001.exe и еще куча левых процесов
      От aleg в разделе Помогите!
      Ответов: 34
      Последнее сообщение: 12.07.2010, 12:57
    4. J001.exe и его Китайские друзья
      От Aurele в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 02.03.2010, 11:52
    5. Непонятный для nod32 троян
      От mich13 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.01.2010, 16:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00722 seconds with 21 queries