-
Вложений: 3
Win32/Bflient.K worm
начали появляться в ноде следующие строки
19.10.2010 21:27:04 Real-time file system protection file C:\DOCUME~1\9335~1\LOCALS~1\Temp\424.exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
19.10.2010 22:41:25 Real-time file system protection file C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\6DW3MZ6P\tbf[1].exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
19.10.2010 21:27:04 Real-time file system protection file C:\DOCUME~1\9335~1\LOCALS~1\Temp\424.exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
19.10.2010 21:27:04 Real-time file system protection file C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\YHOV2LA5\tbf[1].exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
также заметил что он создает файлы с двумя цифрами в system32
просьба помочь с паразитом
-
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%SYSTEM32%\??.EXE','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\Program Files\Razer\DeathAdder\razerhid.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0564674988-2709349834-884647594-9237\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0564674988-2709349834-884647594-9237\syscr.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].
Сделайте новые логи
+ Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
-
Вложений: 3
logs
razerhid.exe не трогал т.к. это драйвер мыши Razer
добавил на карантин и удаление в скрипте еще 3 файла созданных червем в system32 35 44 78 .exe
rsit логи и обновленные с avz ниже
-
продолжение
теперь постоянно нод ругается
20.10.2010 16:46:22 Real-time file system protection file C:\WINDOWS\system32\40.exe Win32/Peerfrag.FD worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.
20.10.2010 16:51:08 Real-time file system protection file C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\23YTCNSH\f[2].exe Win32/Peerfrag.FD worm cleaned by deleting (after the next restart) - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.
20.10.2010 16:49:30 Real-time file system protection file C:\DOCUME~1\9335~1\LOCALS~1\Temp\395.exe Win32/Bflient.K worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\Explorer.EXE.
и файлы постоянно создаются этим червем как его почистить даже не знаю.
-
d
-
Сделайте лог [URL=http://virusinfo.info/showthread.php?t=58309]ComboFix[/URL]
-
cf
-
d
по прежнему каждые 5 минут попытки создания f[1].exe и 2х циферных файлов в system32
-
Сделайте лог [URL=http://virusinfo.info/showthread.php?t=53070]MBAM[/URL]
-
d
лог сделал.
прошел по реестру по стандартным ключам этой заразы - пусто. видимо источник хорошо спрятан, либо есть бэкдор какой-то, который нод не в силах отловить
нод постоянно удаляет файлы
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KVQE2H19\f[1].exe Peerfrag.FD worm
C:\WINDOWS\system32\40.exe Peerfrag.FD worm итп
и вот еще появился новый. видимо предыдущий закачал новый вирус.
C:\WINDOWS\system32\78.scr probably a variant of Win32/Injector.DBU trojan
всё это началось вчера после проверки скорости на 5 ресурсах в интернете
-
-
d
-
Очистите темп-папки. [B]Установите SP3 + все критические обновления для ОС[/B], иначе это никогда не кончится...
-
забыл отписаться, вирус исчез после повторной проверки avz но на всякий поставил sp3. всё тип топ пока что.
скорее всего вирус попал с какого-то из этих ресурсов.
speed.yoip.ru/
speed-tester.info
2ip.ru/speed
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows.o[/B][*] c:\\windows\\system32\\35.exe - [B]P2P-Worm.Win32.Palevo.axnz[/B] ( DrWEB: Win32.HLLW.Lime.685, BitDefender: Trojan.Generic.5243187, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] )[*] c:\\windows\\system32\\36.exe - [B]P2P-Worm.Win32.Palevo.axnz[/B] ( DrWEB: Win32.HLLW.Lime.685, BitDefender: Trojan.Generic.5243187, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] )[*] c:\\windows\\system32\\44.exe - [B]P2P-Worm.Win32.Palevo.axnz[/B] ( DrWEB: Win32.HLLW.Lime.685, BitDefender: Trojan.Generic.5243187, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] )[*] c:\\windows\\system32\\78.exe - [B]P2P-Worm.Win32.Palevo.axnz[/B] ( DrWEB: Win32.HLLW.Lime.685, BitDefender: Trojan.Generic.5243187, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:MalOb-IE [Cryp] )[/LIST][/LIST]
Page generated in 0.01325 seconds with 10 queries