При проверке машины касперкий сказал что обнаружил скрытый процесс smss.exe.
Потытка отключить восстановление системы привела к зависанию машины.
Посмотрите логи пожалуйста.
При проверке машины касперкий сказал что обнаружил скрытый процесс smss.exe.
Потытка отключить восстановление системы привела к зависанию машины.
Посмотрите логи пожалуйста.
Последний раз редактировалось als-a; 25.08.2010 в 16:30.
virusinfo_cure.zip - это карантин, его нужно убрать отсюда. И приложить лог virusinfo_syscheck.zip
сорри ..
убил virusinfo_cure.zip
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\program files\disco\disco commander\dc32.exe'); QuarantineFile('c:\program files\disco\disco commander\dc32.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('C:\Documents and Settings\1\admin.exe',''); DeleteFile('C:\Documents and Settings\1\admin.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
Сделал, есть что-нибудь интересное в карантине ?
В карантин звери отказались идти.
- Сделайте лог МВАМ
Сделал только лог сам не создался, в указанной в инструкции папке и сохранился туда куда я сказал по кнопочке сохранить. То прислал то я в результате ?
Внимание привлекают файлы лежащие в с:\ ... и file.exe который лежал рядом с admin.exe
Добавлено через 2 минуты
Remote Admin это нормально.
Добавлено через 3 минуты
C:\sysovcp.exe
C:\sysrted.exe
C:\sysxrip.exe
Видны не вооруженным глазом, размер 535 байт показывает
Последний раз редактировалось als-a; 25.08.2010 в 18:10. Причина: Добавлено
Удалите в МВАМ -
- Повторите лог МВАМКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Зараженные папки: C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken. C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken. Зараженные файлы: C:\Program Files\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken. C:\sysovcp.exe (Trojan.Downloader) -> No action taken. C:\sysrted.exe (Trojan.Downloader) -> No action taken.
Если только Вы им пользуетесь
Должны умереть.
Сканирование, отстрел указанного, новый лог.
Не понял только одного почему касперский arm32.dll не убил? Вроде он описан в базе. Модификация ?
Удалите в МВАМ -
- Повторите лог МВАМКод:Зараженные файлы: C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken. C:\WINDOWS\system32\cmds.txt (Malware.Trace) -> No action taken. C:\WINDOWS\system32\conf.dat (Malware.Trace) -> No action taken. C:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken. C:\Documents and Settings\1\file.exe (Trojan.Dropper) -> No action taken.
Новый лог.
С Радмином тогда сами разберётесь, если не нужен - убьёте. А так - по логам всё нормально. Что с проблемой?
RAdmin - используется нами. Проблему еще буду смотреть, изначально траффик ненормальный был. Щас не понять, нет работы. Пока все. Большое спасибо за помощь. Закрывайте тему.
Настоятельно рекомендуется обновить - Windows XP SP2 до SP3 + все вышедшие заплатки + обновить Internet Explorer v6.00 до восьмой версии(даже если Вы его не используете), для этого можно воспользоваться автоматическим обновлением системы.
- Обновить C:\Program Files\Adobe\Acrobat 7.0 с официального сайта
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) als-a, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.