файл в потоке НТФС.

Printable View

27.09.2011, 14:16
MetriX

Вложений: 3

файл в потоке НТФС.

Постоянно появляется файл и процесс c:\windows\3022383121:3994540619.exe
Постоянно добавляется в автозапуск csrss во временной папке
не работает интернет
под основной учеткой не запускаются антивирусные утилиты

[COLOR=#000000][FONT=monospace]
[/FONT][/COLOR]
27.09.2011, 14:18
Info_bot

Уважаемый(ая) [B]MetriX[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.09.2011, 14:51
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\3022383121:3994540619.exe:$DATA','');
QuarantineFile('c:\windows\3022383121:3994540619.exe','');
QuarantineFile('C:\Documents and Settings\root\Application Data\Microsoft\conhost.exe','');
QuarantineFile('C:\WINDOWS\system32\dnvpwab.dll','');
QuarantineFile('c:\documents and settings\root\application data\dwm.exe','');
QuarantineFile('c:\docume~1\root\locals~1\temp\csrss.exe','');
DeleteFile('c:\docume~1\root\locals~1\temp\csrss.exe');
DeleteFile('c:\documents and settings\root\application data\dwm.exe');
DeleteFile('C:\WINDOWS\system32\dnvpwab.dll');
DeleteFile('C:\Documents and Settings\root\Application Data\Microsoft\conhost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
DeleteFile('c:\windows\3022383121:3994540619.exe');
DeleteFile('c:\windows\3022383121:3994540619.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите каранин согласно приложения 3 праивил
повторите логи
27.09.2011, 15:37
MetriX

Вложений: 3

Файлы пропали. карантин выслал, логи приложил
если это имеет значение, то началось все с фейкового антивируса "Personal Shield PRO"
27.09.2011, 15:45
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\irina\Рабочий стол\mqnqqgmx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
27.09.2011, 17:45
MetriX

Вложений: 3

скрипт выполнил. в учетке irina winlogon грузит роц на 100%, файлы произвольно перестают запускаться (AVZ пришлось заново качать на здоровой машине).
В обычном режиме AVZ вываливается. прилагаю логи из безопасного режима
27.09.2011, 18:01
V_Bond

пофиксите
[code]
O20 - Winlogon Notify: ahssepcl - ahssepcl.dll (file missing)
[/code]
такой лог сделайте [url]http://virusinfo.info/showthread.php?t=53070[/url]
27.09.2011, 20:25
thyrex

+ лог TDSSkiller
29.09.2011, 14:11
MetriX

Вложений: 2

В обычном режиме вываливается, логи из безопасного. HijackTHis тоже вываливается, так что фиксил руками через regedit
30.09.2011, 00:19
thyrex

Запустите TDSSkiller еще раз и удалите, а не пропускайте [B]11e825b4[/B]

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
uarantineFile('c:\WINDOWS\3022383121:3994540619.exe', 'MBAM: Backdoor.0Access');
QuarantineFile('d:\Old_C_\documents and settings\irina\главное меню\программы\автозагрузка\ctfmon.exe', 'MBAM: Trojan.VB');
QuarantineFile('d:\Old_C_\Recycled\Recycled\ctfmon.exe', 'MBAM: Trojan.VB');
QuarantineFile('d:\Recycled\ctfmon.exe', 'MBAM: Trojan.VB');
DeleteFile('c:\WINDOWS\3022383121:3994540619.exe');
DeleteFile('d:\Old_C_\documents and settings\irina\главное меню\программы\автозагрузка\ctfmon.exe');
DeleteFile('d:\Old_C_\Recycled\Recycled\ctfmon.exe');
DeleteFile('d:\Recycled\ctfmon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\11e825b4 (Backdoor.0Access) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

c:\WINDOWS\3022383121:3994540619.exe (Backdoor.0Access) -> No action taken.
d:\Old_C_\documents and settings\irina\главное меню\программы\автозагрузка\ctfmon.exe (Trojan.VB) -> No action taken.
d:\Old_C_\Recycled\Recycled\ctfmon.exe (Trojan.VB) -> No action taken.
d:\Recycled\ctfmon.exe (Trojan.VB) -> No action taken.[/code]

Сделайте новый лог AVZ
30.09.2011, 10:56
MetriX

Вложений: 2

выслал логи и карантин
30.09.2011, 16:32
MetriX

Комп вроде живой - здоровый, тему можно закрывать
30.09.2011, 19:48
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\irina\Application Data\netprotocol.exe','');
DeleteFile('C:\Documents and Settings\irina\Application Data\netprotocol.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
01.10.2011, 19:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\root\\application data\\dwm.exe - [B]Trojan.Win32.Jorik.Gbot.nzj[/B] ( DrWEB: Trojan.DownLoader4.62568, BitDefender: Gen:Heur.Conjar.5, AVAST4: Win32:Cybota [Trj] )[*] c:\\documents and settings\\root\\application data\\microsoft\\conhost.exe - [B]Backdoor.Win32.Gbot.pdn[/B] ( DrWEB: BackDoor.Gbot.69, BitDefender: Gen:Variant.Kazy.38717, AVAST4: Win32:Cybota [Trj] )[*] c:\\docume~1\\root\\locals~1\\temp\\csrss.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gbot.71, BitDefender: Gen:Variant.Kazy.38717, AVAST4: Win32:Cybota [Trj] )[*] c:\\windows\\system32\\dnvpwab.dll - [B]Trojan-Ransom.Win32.Cidox.ve[/B] ( DrWEB: Trojan.Mayachok.550, BitDefender: Gen:Variant.Mayachok.4, AVAST4: Win32:MalOb-HG [Cryp] )[*] c:\\windows\\3022383121:3994540619.exe - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[*] c:\\windows\\3022383121:3994540619.exe:$data - [B]Backdoor.Win32.ZAccess.ob[/B] ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )[/LIST][/LIST]