Здраствуйте проблема в следующем: В папке User/* создаються exe файлы размером 10.3мб с названием wrt(цифры),install.res(цифры),Backup_rev,redist.При подключении флешки все exe файлы меняються в размере до 3.4мб.
Printable View
Здраствуйте проблема в следующем: В папке User/* создаються exe файлы размером 10.3мб с названием wrt(цифры),install.res(цифры),Backup_rev,redist.При подключении флешки все exe файлы меняються в размере до 3.4мб.
Уважаемый(ая) [B]Craz[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\manifeststore\svchost.exe');
QuarantineFile('C:\Windows\System32\manifeststore\svchost.exe','');
DeleteFile('C:\Windows\System32\manifeststore\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Print service');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
карантин отправил и вот полный образ автозапуска uVS
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url][code];uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
offsgnsave
zoo %Sys32%\MANIFESTSTORE\WMDC.EXE
; C:\WINDOWS\SYSTEM32\MANIFESTSTORE\WMDC.EXE
addsgn 1A9E749A55837A8FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 16 Trojan.Win32.Agentb.fpr [Kaspersky]
zoo %SystemRoot%\UNINST.EXE
delall %SystemRoot%\UNINST.EXE
zoo D:\DOWNL\L2C04RUX.EXE
delall D:\DOWNL\L2C04RUX.EXE
chklst
delvir
deltmp
restart[/code]Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните скрипт в uVS[code];uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
offsgnsave
adddir %Sys32%\MANIFESTSTORE
crimg
chklst
delvir
deltmp[/code]
Будет создан новый полный образ автозапуска, прикрепите его к своему следующему сообщению.
отправил
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Большая просьба помогающим не удалять тему,я ухожу в отпуск до вторника,дальнейшие действия смогу произвести только через неделю.С Пасхой Вас.
Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]
Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
запрашиваемые логи
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM:[/url][code]D:\Soft\Unlocker 1.8.9\unlocker1.8.9.exe (Bundled.Clicker.NSIS) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0032040.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033058.exe (Trojan.Spambot) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033540.exe (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033622.exe (Trojan.KillAV) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033664.exe (Trojan.Spambot) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033665.exe (Trojan.Spambot) -> Действие не было предпринято.[/code]
Удалите MBAM через панель управления, крайне не рекомендуется использовать его в качестве полноценного антивируса, тем более при наличии в системе ещё одного, тем более крякнутый...
Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.
Что с проблемой?
все выполнил уязвимостей AVZ необнаружил,но файлы всеравно еще создаються.Могу предоставить удаленый доступ тимвьювером или амми.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url].
Лог
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ProgramData:mate','');
QuarantineFileF('C:\Qoobox\Quarantine', '*.*', True,'', 0, 0, '', '', '');
DeleteFile('C:\ProgramData:mate');
ExecuteFile('c:\users\Serg\Downloads\ComboFix.exe', '/uninstall', 0, 25000, false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
отправленно
Да, конкретно взламывают...
[URL="http://virusinfo.info/showthread.php?t=122524"]Сделайте лог MiniToolBox[/URL] [U]при подключённом интернете[/U].
[NOTICE][URL="http://windows.microsoft.com/ru-ru/windows-vista/living-with-and-benefiting-from-user-account-control-from-windows-vista-inside-out"]Включите UAC[/URL].[/NOTICE]
Включите брандмауэрWindows (если отключен).
Смените (либо установите) пароль администратора.
Общий доступ к папке c:\users\Public включен? Если да - отключите. Есть другие компьютеры в сети?
Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.
уязвимостей ненайдено,доступ к паблик был закрыт, компьютер находиться в локальной сети - в ней присутсвуют 2 компьютера с такой же проблемой,но они целый день выключены.
192.168.1.1 - это что, сервер, роутер?
Кстати, не мешает сделать проверку системного раздела обычным системным чекдиском, там, похоже, проблемы есть.
Что с основной проблемой?
да стоит роутер,чекдиски зделаю,саднрой на беды тож пройдусь.Пока не ввижу чтобы файлы создавались перезагружусь пару раз
На роутере перенаправление портов каких-нибудь на этот компьютер настроено?
Насколько мне известно то нет,роутер напрямую подключен в стойку к провайдеру
Судя по месту появления файлов трояна, похоже, что по сети ползает, так что остальные компьютеры тоже стоит проверить. В отдельных темах для каждого.
Подскажите какой антивирус лучше справляется с этим трояном?иметься несколько ПК с этой заразой.
Сложно сказать, какой лучше справится... Почистите пока с помощью [URL="http://www.kaspersky.com/free-virus-removal-tool"]Kaspersky Virus Removal Tool[/URL], скоро и ваш антивирус этот троян будет знать.
Огромное спасибо за помощь,есть желание научиться бороться с этим трояном самостоятельно,некоторый опыт работы с программа ми имею,подскажите с каких начинать.
На различных форумах (включая этот) есть темы по обсуждению применения и развития используемых в лечении утилит - AVZ, uVS и других. А здесь ещё и [URL="http://virusinfo.info/forumdisplay.php?f=187"]обучение[/URL] есть.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\programdata:mate - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\qoobox\\quarantine\\c\\programdata\\install.res.exe.vir - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\qoobox\\quarantine\\c\\users\\public\\favorites\\backup_rev_102.exe.vir - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\qoobox\\quarantine\\c\\users\\public\\favorites\\install.res.259.exe.vir - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\qoobox\\quarantine\\c\\users\\public\\videos\\backup_rev_137.exe.vir - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\qoobox\\quarantine\\c\\users\\public\\videos\\redist.exe.vir - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\qoobox\\quarantine\\c\\windows\\system32\\sysprep\\dsiwmis.exe.vir - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\manifeststore\\svchost.exe - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[*] \\zoo\\wmdc.exe._f65b19483fee219568ca3140174aabce29d85929 - [B]Trojan.Win32.Agentb.fpr[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]