[QUOTE=thyrex;756609]Поищите файл, запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке
[/QUOTE]
Спас Antihhhee.scr от AVG. Залил.
Сейчас опять снес AVG и запустил ComboFix. Ждём результат.
Printable View
[QUOTE=thyrex;756609]Поищите файл, запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке
[/QUOTE]
Спас Antihhhee.scr от AVG. Залил.
Сейчас опять снес AVG и запустил ComboFix. Ждём результат.
В карантине [B]Virus.Win32.Parite.b[/B]
Похоже стоит лечиться так [url]http://virusinfo.info/showthread.php?t=15927[/url]
Вариант с LiveCD предпочтительнее
Качаю LiveCD: от Лаборатории Касперского.
Проверюсь с него.
Касперский LiveCD нашел только Antihhhee.scr, который я не дал на растерзание AVG, карантин от AVZ и ComboFix. Ну ещё что то в кэше IE и в архиве BackUp-а.
Всё вычистил посмотрим что будет.
Понаблюдайте за системой.
Не успел понаблюдать, как 2 гостя уже лежат:
c:\Program Files\lanmao.exe
c:\Program Files\zapfsu.exe
я их сейчас отправлю..
Ну и лог от AVZ
Забыл лог...
c:\Program Files\lanmao.exe - DrWeb CurIt определил как BackDoor.DarkShell.96
c:\Program Files\zapfsu.exe - этот не заметил.
Обновления для системы все установлены? У Вас сетевой червяк
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\isql\a95.exe','');
TerminateProcessByName('c:\program files\lanmao.exe');
QuarantineFile('c:\program files\lanmao.exe','');
TerminateProcessByName('c:\windows\system32\isql\jayz.exe');
QuarantineFile('c:\windows\system32\isql\jayz.exe','');
TerminateProcessByName('c:\windows\system32\isql\g001.exe');
QuarantineFile('c:\windows\system32\isql\g001.exe','');
TerminateProcessByName('c:\windows\system32\isql\f001.exe');
QuarantineFile('c:\windows\system32\isql\f001.exe','');
TerminateProcessByName('c:\windows\system32\isql\a16.exe');
QuarantineFile('c:\windows\system32\isql\a16.exe','');
DeleteFile('c:\windows\system32\isql\a16.exe');
DeleteFile('c:\windows\system32\isql\f001.exe');
DeleteFile('c:\windows\system32\isql\g001.exe');
DeleteFile('c:\windows\system32\isql\jayz.exe');
DeleteFile('c:\program files\lanmao.exe');
DeleteFile('c:\windows\system32\isql\a95.exe');
DeleteFileMask('c:\windows\system32\isql', '*.*', true);
DeleteDirectory('c:\windows\system32\isql');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
сделал, но карантин пустой.
Обновления поставлены все.
iSQL это кажется следствие и их AVG отлавливает. Вот бы ещё причину поймать и выдернуть :-(
Кто их, эти iSQL генерит то? или по локальной сети идёт заражение?
Пока в системе тихо. Наблюдаю.
"Не долго музыка играла..."
Поставил Касперского, поскольку с АВГ я уже устал ставить убирать для запуска ComboFix. Наловил:
[QUOTE]На карантине (7)
20.01.2011 18:42:50 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\D001.exe Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe//NSPack Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe//NSPack//PE_Patch Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF//PE-Crypt.CF Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF//PE-Crypt.CF//PE-Crypt.CF Высокая
Удалено (21)
19.01.2011 7:17:19 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\DgGhUSX585B2eo5.exe Высокая
19.01.2011 7:17:19 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\DgGhUSX585B2eo5.exe//# Высокая
19.01.2011 7:16:53 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\cY255iWjQv8jCJ8.exe Высокая
19.01.2011 7:16:53 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\cY255iWjQv8jCJ8.exe//# Высокая
19.01.2011 7:17:12 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\G8mFIu5epvn2D58.exe Высокая
19.01.2011 7:17:12 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\G8mFIu5epvn2D58.exe//# Высокая
19.01.2011 7:16:40 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Documents and Settings\Алексей\AppData\Local\Temp\m3.exe Высокая
19.01.2011 7:16:46 Удалено троянская программа Trojan-Downloader.Win32.Small.bjqy C:\Documents and Settings\Алексей\AppData\Local\Temp\m2.exe Высокая
19.01.2011 7:16:40 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Documents and Settings\Алексей\AppData\Local\Temp\m3.exe//UPX Высокая
19.01.2011 7:15:48 Удалено троянская программа Trojan-Downloader.Win32.Small.bjqy c:\program files\temp\qq.exe Высокая
19.01.2011 7:31:46 Удалено троянская программа Trojan-Downloader.BAT.Ftp.ab c:\windows\system32\eq Высокая
19.01.2011 7:31:46 Удалено вирус Net-Worm.Win32.Kolab.rvw C:\Windows\System32\iSql\A16.exe Высокая
19.01.2011 7:31:46 Удалено троянская программа Trojan-Downloader.Win32.Agent.fquu C:\Windows\System32\iSql\A95.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.djvl C:\Windows\System32\iSql\F001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dkfy C:\Windows\System32\iSql\G001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Windows\System32\iSql\H001.exe Высокая
20.01.2011 19:17:44 Удалено троянская программа Trojan.Win32.Scar.djvk C:\Windows\System32\iSql\JAYZ.exe Высокая
20.01.2011 19:17:44 Удалено троянская программа Trojan-Dropper.Win32.Agent.dyld C:\Windows\System32\iSql\K001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Backdoor.Win32.Httpbot.apk C:\Windows\System32\iSql\H002.exe Высокая
20.01.2011 10:50:11 Удалено троянская программа Trojan-Downloader.VBS.Small.az C:\1.vbs Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Windows\System32\iSql\H001.exe//UPX Высокая
[/QUOTE]
Как и АВГ ловит iSQL-ы в больших количествах, но кажется это следствие, а вот причины не видно :-(
Ну и процессор Касперский весь сжирает - хотя это может из-за вирусов как раз..
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\program files\rmnjiq.exe
c:\windows\system32\omyo.exe
c:\windows\system32\rmnjiq.exe
Driver::
3600
BAlmNFna
WMMNetworkJbr
NetSvc::
Folder::
c:\windows\system32\iSql
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Выполнил..
что с проблемой?
Всё так же - куча C:\Windows\System32\iSql\A*.exe в системе после перезагрузки..
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Выполните скрипт в AVZ:
[CODE]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
end.
[/CODE]
1. Находится ли машина в сети?
2. Подключались ли флэшки при сканировании с LiveCD? (если нет - сделайте)
3. Делалось ли полное сканирование всех дисков в LiveCD?
Пересканируйте систему с подключенными флэшками. Затем лог virusinfo_syscheck повторите.
1. Да. Домашняя сеть 3 компьютера + интернет
2. нет. Зачем не понял? Проверить Флешки? Ну так они чистые и с появлением вирусов никак не связаны они...
3. Да.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 30 минут[/I][/B][/color][/size]
Сделал "Скрипт сбора неопознанных и подозрительных файлов"
22.01.2011 00:20 108*189*228 virusinfo_files_АЛЕКСЕЙ-ПК.zip
Получилось больше 80Мег. Как и куда его залить?
просто ссылку сюда брошу подойдёт?
[QUOTE='Mielofon;758408']1. Да. Домашняя сеть 3 компьютера + интернет[/QUOTE]Неплохо было бы исследовать и остальные 2 машины
Проверю и логи скину, но у на тех машинах XP и проблем с iSQL нет.
Выберите, пожалуйста, где будете продолжать лечение: здесь или в 911