-
Win32/statik
Достался компутер. с ним явно что-то не то. проверял многими антивирусами, и периодически они что-то находят.
При подключении к инету начинает маячить нод, мол нашел, изолировал и т.д., и, как правило, это win32/statik, но кроме него периодически появляются другие (вылетело из головы, какие).
Возникают дополнительные папки по адресу C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
и C:\WINDOWS\system32 с файлами типа Е001.ехе, Р001.ехе и А16. (кстати, во время выполнения этапа №2 при подключении к инету, запуске скрипта папки и файлы появлялись опять).
Сразу улетает траффик, выскакивает ошибка периодически (win32 generic бла бла бла). Пробовал отключаться от локалки и подключаться к инету просто через модем - то же самое.
-
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hglasvstart.dll','');
QuarantineFile('C:\WINDOWS\system32\twnph.biz','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2821856266-1678142532-748270048-9453\nissan.exe','');
QuarantineFile('c:\program files\common files\system\sqldebug.exe','');
QuarantineFile('C:\Program Files\Common Files\System\sqlserv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\df.sys','');
QuarantineFile('c:\windows\system32\twnph.biz','');
QuarantineFile('c:\windows\system32\idsasvstart.dll','');
DeleteFile('c:\windows\system32\idsasvstart.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-2821856266-1678142532-748270048-9453\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\hglasvstart.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- распакуйте файлы из вложения, внесите информацию в реестр, запустив их.
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][B]Combofix[/B][/URL]
-
-
проблема вернулась спустя пол-часа. все то же самое
-
пожалуй, вот вам архив, в нем те самые файлы, появляющиеся и заражающиеся (2 из них). может это что вам даст.
-
[url]http://virusinfo.info/showthread.php?t=4567[/url]
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\t\E001.exe
c:\windows\system32\hglasclib.dll
c:\windows\system32\ldsasclib.dll
c:\windows\system32\twnph.biz
C:\Program Files\Common Files\System\sqlserv.ex
Driver::
vsd
SqlDebuger
NetSvc::
Folder::
c:\windows\system32\t
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HgpSrv"=-
"IdsSrv"=-
FileLook::
DirLook::[/CODE]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\system\\sqldebug.exe - [B]Trojan-Downloader.MSIL.Small.de[/B] ( BitDefender: Trojan.Generic.6130038, AVAST4: Win32:Malware-gen )[*] c:\\program files\\common files\\system\\sqlserv.exe - [B]Trojan-Downloader.MSIL.Small.de[/B] ( BitDefender: Trojan.Generic.5342714, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\hglasvstart.dll - [B]Net-Worm.Win32.Kolab.jus[/B] ( DrWEB: Trojan.MulDrop1.40733, BitDefender: DeepScan:Generic.Malware.WX!.3A35342D, AVAST4: Win32:Alureon-NP [Trj] )[*] c:\\windows\\system32\\idsasvstart.dll - [B]Net-Worm.Win32.Kolab.kiv[/B] ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.428550C7, NOD32: Win32/TrojanDownloader.Agent.QEK trojan, AVAST4: Win32:Alureon-NP [Trj] )[*] c:\\windows\\system32\\twnph.biz - [B]Trojan-PSW.Win32.Bjlog.kig[/B] ( DrWEB: Trojan.PWS.Siggen.7655, BitDefender: Trojan.Zegost.A, NOD32: Win32/Redosdru.HH trojan, AVAST4: Win32:Zegost-D [Drp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]
Page generated in 0.00134 seconds with 10 queries