При проверке машины касперкий сказал что обнаружил скрытый процесс smss.exe.
Потытка отключить восстановление системы привела к зависанию машины.
Посмотрите логи пожалуйста.
Printable View
При проверке машины касперкий сказал что обнаружил скрытый процесс smss.exe.
Потытка отключить восстановление системы привела к зависанию машины.
Посмотрите логи пожалуйста.
[B]virusinfo_cure.zip[/B] - это карантин, его нужно убрать отсюда. И приложить лог [B]virusinfo_syscheck.zip[/B]
сорри ..
убил [B]virusinfo_cure.zip[/B]
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\disco\disco commander\dc32.exe');
QuarantineFile('c:\program files\disco\disco commander\dc32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\Documents and Settings\1\admin.exe','');
DeleteFile('C:\Documents and Settings\1\admin.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи
Сделал, есть что-нибудь интересное в карантине ?
В карантин звери отказались идти.
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
Сделал только лог сам не создался, в указанной в инструкции папке и сохранился туда куда я сказал по кнопочке сохранить. То прислал то я в результате ?
Внимание привлекают файлы лежащие в с:\ ... и file.exe который лежал рядом с admin.exe
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Remote Admin это нормально.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
C:\sysovcp.exe
C:\sysrted.exe
C:\sysxrip.exe
Видны не вооруженным глазом, размер 535 байт показывает
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Зараженные папки:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\sysovcp.exe (Trojan.Downloader) -> No action taken.
C:\sysrted.exe (Trojan.Downloader) -> No action taken.[/CODE]
- Повторите лог МВАМ
[QUOTE='als-a;695283']Remote Admin это нормально.[/QUOTE] Если только Вы им пользуетесь
[QUOTE='als-a;695283']C:\sysovcp.exe
C:\sysrted.exe
C:\sysxrip.exe[/QUOTE] Должны умереть.
Сканирование, отстрел указанного, новый лог.
Не понял только одного почему касперский arm32.dll не убил? Вроде он описан в базе. :scratch_one-s_head: Модификация ?
Удалите в МВАМ -
[CODE]Зараженные файлы:
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\cmds.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\conf.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\ps1.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\rc.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\1\file.exe (Trojan.Dropper) -> No action taken.[/CODE]
- Повторите лог МВАМ
Новый лог.
С Радмином тогда сами разберётесь, если не нужен - убьёте. А так - по логам всё нормально. Что с проблемой?
RAdmin - используется нами. Проблему еще буду смотреть, изначально траффик ненормальный был. Щас не понять, нет работы. Пока все. Большое спасибо за помощь. Закрывайте тему.
Настоятельно рекомендуется обновить - Windows XP [B]SP2[/B] до [B]SP3[/B] + все вышедшие заплатки + обновить Internet Explorer [B]v6.00[/B] до восьмой версии(даже если Вы его не используете), для этого можно воспользоваться автоматическим обновлением системы.
- Обновить C:\Program Files\Adobe\Acrobat [B]7.0[/B] с официального сайта
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]