-
Что то не то в системе
Система Windows7 x64
Стоит AVG Free Edition и он постоянно ругается на вирусы в C:\Windows\System32\iSql\ и c:\Rtsecar.exe причем ещё и падает при его удалении. Почистил машину CureIt-ом и высылаю логи.
И ещё AVZ как оглашенный ругаеся на всё что видит User mode rootkit!
Заранее спасибо за помощь.
-
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
-
Скачал, запустил, логи кладу.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\iaim.exe
c:\windows\system32\weoe.exe
c:\windows\system32\birfmq.exe
c:\windows\system32\tjsg.exe
c:\windows\system32\yciyka.exe
c:\windows\system32\myiegw.exe
c:\windows\system32\yciyka.exe
c:\windows\system32\froe.exe
c:\windows\system32\agyaku.exe
c:\windows\system32\mwimkc.exe
Driver::
asdmin
der
grft
hacking58
kJSwpGGG
MKhxUmwz
NaTzPEjE
srgr
txstx
vrs
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
-
Сделал. Но в этот раз не было в корне (если сын не ошибается - вечером доберусь проверю).
Файл лежал в c:\ComboFix\ComboFix.txt
И что то он маленький. AVG ему мешает - вчера снес, прогнал и опять поставил. Сегодня перед прогоном снёс, но не перезагружался.
Вечером попробую после перезагрузки прогнать скрипт.
-
лог оборваный получился, выполните скрипт еще раз и получившийся лог прикрепите к сообщению
-
Перезапустил. Теперь лог больше. + c:\ComboFix.rar рядом лежит.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\program files\mmksgq.exe
c:\program files\wakuak.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
-
А также
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\program files\Internet Explorer\Antizhmez.scr','');
QuarantineFile('c:\windows\SysWow64\Woishdiha.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
-
[QUOTE=polword;754775]
[/QUOTE]
Приложил
-
[QUOTE=thyrex;754807]А также
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\program files\Internet Explorer\Antizhmez.scr','');
QuarantineFile('c:\windows\SysWow64\Woishdiha.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы[/QUOTE]
Карантин на сегодня пустой. Видимо этих 2х гадов кто то уже прибил.
Высылаю ещё раз логи AVZ и HiJackThis
-
-
[QUOTE=thyrex;754828]Что с проблемой?[/QUOTE]
c:\Rtsecar.exe с последней перезагрузки не появляется. Сейчас поставлю AVG и попробую жить с ним. Посмотрим насчет C:\Windows\System32\iSql\ ов.
-
Всё опять вернулось. Сейчас сделаю логи AVZ и ComboFix.
-
-
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\Program Files\mmksgq.exe','');
QuarantineFile('C:\Program Files\wakuak.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\Antizhmez.scr','');
QuarantineFile('C:\Program Files\Microsoft Explorer\lsass.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
-
Закачал. Правда там только 'C:\Program Files\Microsoft Explorer\lsass.exe' был в карантине.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\program files\mmksgq.exe
c:\program files\wakuak.exe
C:\Program Files\Internet Explorer\Antizhmez.scr
C:\Program Files\Microsoft Explorer\lsass.exe
Driver::
Alerter Microsoft Reader
MediaChedze
WMMNetworkKtx
WMMNetworkUxi
Folder::
C:\Windows\System32\iSql
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
-
-
Поищите файл, запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке
[QUOTE]c:\program files\Internet Explorer\Antihhhee.scr [2011-01-16 215510][/QUOTE]
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\DRIVERS\eamonm.sys
c:\program files\Internet Explorer\Antihhhee.scr
c:\windows\system32\tdcg.exe
c:\program files\eqoyuy.exe
Driver::
WMMNetworkEbn
wmasds
MediaCrzkmw
eamonm
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
-
[QUOTE=thyrex;756609]Поищите файл, запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке
[/QUOTE]
Спас Antihhhee.scr от AVG. Залил.
Сейчас опять снес AVG и запустил ComboFix. Ждём результат.
-
В карантине [B]Virus.Win32.Parite.b[/B]
Похоже стоит лечиться так [url]http://virusinfo.info/showthread.php?t=15927[/url]
Вариант с LiveCD предпочтительнее
-
Качаю LiveCD: от Лаборатории Касперского.
Проверюсь с него.
-
Касперский LiveCD нашел только Antihhhee.scr, который я не дал на растерзание AVG, карантин от AVZ и ComboFix. Ну ещё что то в кэше IE и в архиве BackUp-а.
Всё вычистил посмотрим что будет.
-
Понаблюдайте за системой.
-
Не успел понаблюдать, как 2 гостя уже лежат:
c:\Program Files\lanmao.exe
c:\Program Files\zapfsu.exe
я их сейчас отправлю..
Ну и лог от AVZ
-
-
c:\Program Files\lanmao.exe - DrWeb CurIt определил как BackDoor.DarkShell.96
c:\Program Files\zapfsu.exe - этот не заметил.
-
Обновления для системы все установлены? У Вас сетевой червяк
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\isql\a95.exe','');
TerminateProcessByName('c:\program files\lanmao.exe');
QuarantineFile('c:\program files\lanmao.exe','');
TerminateProcessByName('c:\windows\system32\isql\jayz.exe');
QuarantineFile('c:\windows\system32\isql\jayz.exe','');
TerminateProcessByName('c:\windows\system32\isql\g001.exe');
QuarantineFile('c:\windows\system32\isql\g001.exe','');
TerminateProcessByName('c:\windows\system32\isql\f001.exe');
QuarantineFile('c:\windows\system32\isql\f001.exe','');
TerminateProcessByName('c:\windows\system32\isql\a16.exe');
QuarantineFile('c:\windows\system32\isql\a16.exe','');
DeleteFile('c:\windows\system32\isql\a16.exe');
DeleteFile('c:\windows\system32\isql\f001.exe');
DeleteFile('c:\windows\system32\isql\g001.exe');
DeleteFile('c:\windows\system32\isql\jayz.exe');
DeleteFile('c:\program files\lanmao.exe');
DeleteFile('c:\windows\system32\isql\a95.exe');
DeleteFileMask('c:\windows\system32\isql', '*.*', true);
DeleteDirectory('c:\windows\system32\isql');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
-
сделал, но карантин пустой.
Обновления поставлены все.
iSQL это кажется следствие и их AVG отлавливает. Вот бы ещё причину поймать и выдернуть :-(
Кто их, эти iSQL генерит то? или по локальной сети идёт заражение?
Пока в системе тихо. Наблюдаю.
-
"Не долго музыка играла..."
Поставил Касперского, поскольку с АВГ я уже устал ставить убирать для запуска ComboFix. Наловил:
[QUOTE]На карантине (7)
20.01.2011 18:42:50 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\D001.exe Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe//NSPack Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe//NSPack//PE_Patch Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF//PE-Crypt.CF Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF//PE-Crypt.CF//PE-Crypt.CF Высокая
Удалено (21)
19.01.2011 7:17:19 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\DgGhUSX585B2eo5.exe Высокая
19.01.2011 7:17:19 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\DgGhUSX585B2eo5.exe//# Высокая
19.01.2011 7:16:53 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\cY255iWjQv8jCJ8.exe Высокая
19.01.2011 7:16:53 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\cY255iWjQv8jCJ8.exe//# Высокая
19.01.2011 7:17:12 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\G8mFIu5epvn2D58.exe Высокая
19.01.2011 7:17:12 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\G8mFIu5epvn2D58.exe//# Высокая
19.01.2011 7:16:40 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Documents and Settings\Алексей\AppData\Local\Temp\m3.exe Высокая
19.01.2011 7:16:46 Удалено троянская программа Trojan-Downloader.Win32.Small.bjqy C:\Documents and Settings\Алексей\AppData\Local\Temp\m2.exe Высокая
19.01.2011 7:16:40 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Documents and Settings\Алексей\AppData\Local\Temp\m3.exe//UPX Высокая
19.01.2011 7:15:48 Удалено троянская программа Trojan-Downloader.Win32.Small.bjqy c:\program files\temp\qq.exe Высокая
19.01.2011 7:31:46 Удалено троянская программа Trojan-Downloader.BAT.Ftp.ab c:\windows\system32\eq Высокая
19.01.2011 7:31:46 Удалено вирус Net-Worm.Win32.Kolab.rvw C:\Windows\System32\iSql\A16.exe Высокая
19.01.2011 7:31:46 Удалено троянская программа Trojan-Downloader.Win32.Agent.fquu C:\Windows\System32\iSql\A95.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.djvl C:\Windows\System32\iSql\F001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dkfy C:\Windows\System32\iSql\G001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Windows\System32\iSql\H001.exe Высокая
20.01.2011 19:17:44 Удалено троянская программа Trojan.Win32.Scar.djvk C:\Windows\System32\iSql\JAYZ.exe Высокая
20.01.2011 19:17:44 Удалено троянская программа Trojan-Dropper.Win32.Agent.dyld C:\Windows\System32\iSql\K001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Backdoor.Win32.Httpbot.apk C:\Windows\System32\iSql\H002.exe Высокая
20.01.2011 10:50:11 Удалено троянская программа Trojan-Downloader.VBS.Small.az C:\1.vbs Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Windows\System32\iSql\H001.exe//UPX Высокая
[/QUOTE]
Как и АВГ ловит iSQL-ы в больших количествах, но кажется это следствие, а вот причины не видно :-(
Ну и процессор Касперский весь сжирает - хотя это может из-за вирусов как раз..
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\program files\rmnjiq.exe
c:\windows\system32\omyo.exe
c:\windows\system32\rmnjiq.exe
Driver::
3600
BAlmNFna
WMMNetworkJbr
NetSvc::
Folder::
c:\windows\system32\iSql
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
-
-
-
Всё так же - куча C:\Windows\System32\iSql\A*.exe в системе после перезагрузки..
-
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Выполните скрипт в AVZ:
[CODE]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
end.
[/CODE]
1. Находится ли машина в сети?
2. Подключались ли флэшки при сканировании с LiveCD? (если нет - сделайте)
3. Делалось ли полное сканирование всех дисков в LiveCD?
Пересканируйте систему с подключенными флэшками. Затем лог virusinfo_syscheck повторите.
-
1. Да. Домашняя сеть 3 компьютера + интернет
2. нет. Зачем не понял? Проверить Флешки? Ну так они чистые и с появлением вирусов никак не связаны они...
3. Да.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 30 минут[/I][/B][/color][/size]
Сделал "Скрипт сбора неопознанных и подозрительных файлов"
22.01.2011 00:20 108*189*228 virusinfo_files_АЛЕКСЕЙ-ПК.zip
Получилось больше 80Мег. Как и куда его залить?
просто ссылку сюда брошу подойдёт?
-
[QUOTE='Mielofon;758408']1. Да. Домашняя сеть 3 компьютера + интернет[/QUOTE]Неплохо было бы исследовать и остальные 2 машины
-
Проверю и логи скину, но у на тех машинах XP и проблем с iSQL нет.
-
Выберите, пожалуйста, где будете продолжать лечение: здесь или в 911
Page generated in 0.00797 seconds with 10 queries