Показано с 1 по 11 из 11.

Вирус папка.exe во флешке создан процессом :services ? (заявка № 81274)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    9
    Вес репутации
    24

    Thumbs up Вирус папка.exe во флешке создан процессом :services ?

    Доброго времени специалистам проекта ВирусИнфо.
    Так Вот. После путешествия флешки по двум компам на третьем было обнаружено, что во флешке были заменены папки находящиеся в корневом каталоге файлами типа "название_папки.exe". Комп №1 мне не доступен. В компе №2(этот комп) позже был обнаружен процесс :service.exe и snmp.exe в диспетчере задач. Проверка ежеденевно обновляемым Nod 4 компа №2 не показала вирусов, Но комп №3 обнаружил точно таким же Nod 4 что :service.exe вирус типа WIN32\RemoteAdmin.RAdmin.20 и думаю что полностью удалил.
    При выполнении пунктов "Правил" на компе №2 AVPTool так же определил его как вирус Radmin (здесь полностью не запомнил так как не подумав удалил антивирус когда он предложил). После выполнения правил остался процесс snmp.exe. Тестирование компа №2 флешкой не показало замены папок на exe. В интернете нашел описание вируса/трояна Пинча с схожими последствиями и в срочном порядке сменил все пароли на логинах в инете.
    Логи проверки прилагаю.
    Последний раз редактировалось Halcyon; 13.12.2010 в 19:06.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    9
    Вес репутации
    24
    НЕ знаю даже стоит дополнить. 1) заражение произошло либо из локальной сети либо с компа №1. Если из локальной сети(ЛС) - это не означает ли что злоумышленник находится в в ЛС? в таком случае я бы мог найти его и "наказать". вот только как определить кто он, если он до сих пор действует в сети?

    2)Может быть вариантом что первым был заражен комп №3, так как флешка постоянно используется на нем и за пару дней до обнаружения вируса комп №3 был грубо лишен некоторых папок типа Install в папке windows, папок программ в Application Date папок <пользователь> и All, после чего понял что "Установкой и удалением программ" некоторые программы удалить не получится, удалил их YourUninstal'ом. Так же подвергался освобождению места и чистке реестра различными программами типа CCleaner. В последующие дни на нем при запуске программы типа PeerToPeer (ApexDC) (он только по локальной сети) сильно тормозил компьютер и перезагружал через диспетчер задач, после очистки железа от тополиного пуха - это явление исчезло. Советов по правилам пользования компьютера прошу не давать, так как данный(проверяемый) компьютер используется аккуратно, ввиду того что регулярный его пользователь знает и использует только штатные средства управления операционной системы.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Цитата Сообщение от Halcyon Посмотреть сообщение
    что во флешке были заменены папки находящиеся в корневом каталоге файлами типа "название_папки.exe"
    Папки получили атрибут "скрытый" и остались на флешке. Все файлы, получившие имена папок, имеют одинаковый размер и иконку в виде папки.
    Увидеть все это можно в файловом менеджере типа Total Commander, Far

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\1025v.exe','');
     DeleteService('W32TimeSwPrv');
     DeleteFile('C:\WINDOWS\system32\1025v.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    9
    Вес репутации
    24
    Выслал запрошенный карантин. (Но при просмотре карантина имелись три файла от 2010-06-18, т е вчера добавлены (от игры, htm, PE файл с нестандарнным расширением) не добавил в архив)
    A Это по архиву:
    Файл сохранён как 100618_232356_virus_4c1bc7cce2354.zip
    Размер файла 590
    MD5 3075933a8a6e072484a8f791e3d06083

    Добавлено через 4 часа 0 минут

    При запуске автоматической экспрес-проверки в окне было выделено красным:
    Service C:\windiws\system32\svchost.exe (***hidden***) [AUTO]xmqzibbn
    и появилось сообщение от GMER: Warning. GMER has found system modification, which might have been caused by ROOTKIT activity.
    я согласился сканировать систему.
    Пункт SCAN ЕЩЕ ВЫПОЛНЯЮ
    Последний раз редактировалось Halcyon; 19.06.2010 в 04:04. Причина: Добавлено
    Если антивирус сказал что он удалил вирус - это не значит что вируса нет в компе. Если человек сказал что он не вор - это не значит что он никогда не крал.

  6. #5
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    9
    Вес репутации
    24

    Высылаю логи

    Последовательность выполнения после высылки карантина:
    Восстановление системы еще было отключено.
    Выполнил шестой пункт раздела "После загрузки инструментов"
    1. Первый пункт из диагностики AVZ
    В конце выполнения скрипта вышло сообшение Windows:
    Система завершает работу. ... Отключение системы вызвано NT AUTHORITY\SYSTEM
    ... Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741819. "Будет перезагрузка"
    После перезагрузки выполнил снова первый пункт диагностики AVZ. завершился удачно. Перезагрузился.
    2. Выполнил второй пункт диагностики AVZ. без происшествий.
    3. Выполнил третий пункт диагностики AVZ
    4. Выполнял пункты необходимые для создания логов из темы о GMER:
    Вот тут и было то что написал в предыдущем посте:
    При запуске автоматической экспрес-проверки в окне было выделено красным:
    Service C:\windiws\system32\svchost.exe (***hidden***) [AUTO]xmqzibbn
    и появилось сообщение от GMER: Warning. GMER has found system modification, which might have been caused by ROOTKIT activity.
    я согласился сканировать систему.
    По завершении сканирования Gmer выдал сообщение о активных рукитах в системе. нажал ок. Сохранил лог gmer_2010_06_19_06_01.log. Запустил Пункт Scan в соответствии с инструкцией темы о GMER. В конце он снова предупредил о рукитах. согласился. сохранил лог gmer_2010_06_19_15_14.log который и высылаю.
    Последний раз редактировалось Halcyon; 13.12.2010 в 19:06.
    Если антивирус сказал что он удалил вирус - это не значит что вируса нет в компе. Если человек сказал что он не вор - это не значит что он никогда не крал.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится 30sl64hg.exe (gmer)
    Код:
    30sl64hg.exe -del service xmqzibbn
    30sl64hg.exe -del file "C:\WINDOWS\system32\hskwnnl.dll"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\xmqzibbn"
    30sl64hg.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделать новый лог gmer.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    9
    Вес репутации
    24

    Простите что долго не отвечал. Не заметил требование о высылке лога.

    Высылаю лог GMER после выполнения пункта с cleanup.bat.
    Вложения Вложения
    Если антивирус сказал что он удалил вирус - это не значит что вируса нет в компе. Если человек сказал что он не вор - это не значит что он никогда не крал.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Лог чист. Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    9
    Вес репутации
    24
    Проблемы нет. Но стоит ли отключить службу "сервер SNMP", что в диспетчере задач стоит процессом snmp.exe? до заражения его не было. по сути вроде не нужен, и от зависимых служб нету.
    Если антивирус сказал что он удалил вирус - это не значит что вируса нет в компе. Если человек сказал что он не вор - это не значит что он никогда не крал.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Вам лучше знать, нужно это: http://ru.wikipedia.org/wiki/SNMP или нет.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Halcyon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Проблема с процессом services.exe (заявка №17683)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 23.01.2011, 03:01
    2. Папка RECYCLER на флешке
      От alter-sl в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.11.2010, 00:15
    3. Проблема с процессом services.exe
      От рим aka волшебник в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.08.2010, 23:54
    4. Папка Cave на флешке
      От Denton в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.12.2008, 09:49
    5. Загрузка процессора процессом services.exe
      От Tinky в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.11.2008, 17:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00950 seconds with 22 queries