Windows XP Sp3
Slave - это от twd
svchost заражен variant of Corkow.F Trojan
антивирус NOD32, при старте обнаруживает, но лечить не может.
прогнал AVPTool не помогло, логи от AVZ, Hijack This прилагаю.
Safe boot вызывает 0x000007b
Windows XP Sp3
Slave - это от twd
svchost заражен variant of Corkow.F Trojan
антивирус NOD32, при старте обнаруживает, но лечить не может.
прогнал AVPTool не помогло, логи от AVZ, Hijack This прилагаю.
Safe boot вызывает 0x000007b
Уважаемый(ая) [B]mmaaiill[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\slave.exe','');
QuarantineFile('C:\Program Files\Common Files\Services\synmsext.xof','');
QuarantineFile('C:\Documents and Settings\admin\Application Data\1B73C9\1B73C9.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
DeleteFile('C:\Documents and Settings\admin\Application Data\1B73C9\1B73C9.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','madFlac');
DeleteFile('C:\Program Files\Common Files\Services\synmsext.xof');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке в шапке этой темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
скрипт выполнен успешно,
перезагрузку пришлось таки нажать кнопку питания,
вирус при загрузке не обнаружен,
карантин прикрепил,
логи прилагаю =)
[CODE]C:\WINDOWS\Slave.exe[/CODE]
Проверьте этот файл на [url=http://www.virustotal.com/index.html]virustotal[/url]
кнопка [b]Выбрать файл[/b] (Choose File) - ищите нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
смените пароли в первую очередь банковские.
в этом файле уверен, сравнил размеры с другими копиями на других компьютерах, сам клал его именно в это место =)
Подпись соответствует. Размер и время тоже. Это ремот админ от twd industries, пользуемся не первый год. Дата файла 02.07.08 18:34 совпадает.
[URL="https://www.virustotal.com/ru/file/b93b90ac0454b914f763d9186b1daf4fefc33e23bd3f2c87ee3167786b1684c8/analysis/1369244118/"]вирустотал[/URL]
MBAM сейчас прогоню, хотя не очень новая версия тут присутствовала.
пароли это уже придется завтра менять, до утра остается уповать на то, что ключи (в реестре их не было) не увели с носителей.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
MBAM лог прилагаю
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Из лога MBAM
Обнаруженные файлы: 4
C:\Documents and Settings\admin\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Пробовать лечить и еще раз проверку или сразу чего?
Удалите в MBAM:
[CODE]Обнаруженные файлы: 4
C:\Documents and Settings\admin\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/CODE]
Сделайте повторный лог MBAM.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темы [QUOTE]variant of Corkow.F Trojan [not-a-virus:RemoteAdmin.Win32.RA.52126 ] [/QUOTE] он самый и есть.
[QUOTE]
+ добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темы он самый и есть.[/QUOTE]
еще раз подчеркну, что этот же Slave от twd есть на всех компах и именно в этой папке и такого размера - сравнивал, все совпадает.
других сейчас поудаляю.
[quote="mmaaiill;1004298"]еще раз подчеркну, что этот же Slave от twd есть на всех компах[/quote]
С этим мы уже разобрались.
[quote="mrak74;1004274"]+ добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темы[/quote]
Добавить в исключения, это [url]http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852921&sphrase_id=7845[/url] , т.к. ESET воспринимает отдельные программы удаленного доступа, как [B]not-a-virus:RemoteAdmin[/B], будут вопросы, задавайте.
почистил, прогнал MBAM, перезагрузил, прогнал еще раз - чисто, нод вроде тоже молчит.
Спасибо, вроде все полечили.
про пароли думаю помните,
+ - Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\slave.exe - [B]not-a-virus:RemoteAdmin.Win32.RA.52126[/B] ( DrWEB: Program.RemoteAdmin, BitDefender: Virtool.1335 )[/LIST][/LIST]