Что то не то в системе

[Mielofon]

Поищите файл, запакуйте с паролем virus и пришлите по красной ссылке

Спас Antihhhee.scr от AVG. Залил.
Сейчас опять снес AVG и запустил ComboFix. Ждём результат.

[thyrex]

В карантине Virus.Win32.Parite.b
Похоже стоит лечиться так http://virusinfo.info/showthread.php?t=15927

Вариант с LiveCD предпочтительнее

[Mielofon]

Качаю LiveCD: от Лаборатории Касперского.
Проверюсь с него.

[Mielofon]

Касперский LiveCD нашел только Antihhhee.scr, который я не дал на растерзание AVG, карантин от AVZ и ComboFix. Ну ещё что то в кэше IE и в архиве BackUp-а.
Всё вычистил посмотрим что будет.

[thyrex]

Понаблюдайте за системой.

[Mielofon]

Не успел понаблюдать, как 2 гостя уже лежат:
c:\Program Files\lanmao.exe
c:\Program Files\zapfsu.exe

я их сейчас отправлю..

Ну и лог от AVZ

[Mielofon]

Забыл лог...

[Mielofon]

c:\Program Files\lanmao.exe - DrWeb CurIt определил как BackDoor.DarkShell.96
c:\Program Files\zapfsu.exe - этот не заметил.

[thyrex]

Обновления для системы все установлены? У Вас сетевой червяк

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('c:\windows\system32\isql\a95.exe','');
 TerminateProcessByName('c:\program files\lanmao.exe');
 QuarantineFile('c:\program files\lanmao.exe','');
 TerminateProcessByName('c:\windows\system32\isql\jayz.exe');
 QuarantineFile('c:\windows\system32\isql\jayz.exe','');
 TerminateProcessByName('c:\windows\system32\isql\g001.exe');
 QuarantineFile('c:\windows\system32\isql\g001.exe','');
 TerminateProcessByName('c:\windows\system32\isql\f001.exe');
 QuarantineFile('c:\windows\system32\isql\f001.exe','');
 TerminateProcessByName('c:\windows\system32\isql\a16.exe');
 QuarantineFile('c:\windows\system32\isql\a16.exe','');
 DeleteFile('c:\windows\system32\isql\a16.exe');
 DeleteFile('c:\windows\system32\isql\f001.exe');
 DeleteFile('c:\windows\system32\isql\g001.exe');
 DeleteFile('c:\windows\system32\isql\jayz.exe');
 DeleteFile('c:\program files\lanmao.exe');
 DeleteFile('c:\windows\system32\isql\a95.exe');
DeleteFileMask('c:\windows\system32\isql', '*.*', true);
DeleteDirectory('c:\windows\system32\isql');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Mielofon]

сделал, но карантин пустой.

Обновления поставлены все.

iSQL это кажется следствие и их AVG отлавливает. Вот бы ещё причину поймать и выдернуть :-(
Кто их, эти iSQL генерит то? или по локальной сети идёт заражение?


Пока в системе тихо. Наблюдаю.

[Mielofon]

"Не долго музыка играла..."

Поставил Касперского, поскольку с АВГ я уже устал ставить убирать для запуска ComboFix. Наловил:

На карантине (7)
20.01.2011 18:42:50 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\D001.exe Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe//NSPack Высокая
20.01.2011 19:17:45 На карантине вирус HEUR:Trojan.Win32.Generic C:\Windows\System32\iSql\E001.exe//NSPack//PE_Patch Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF//PE-Crypt.CF Высокая
20.01.2011 18:42:50 На карантине троянская программа Backdoor.Win32.Krafcot.agz C:\Windows\System32\iSql\D001.exe//PE-Crypt.CF//PE-Crypt.CF//PE-Crypt.CF Высокая
Удалено (21)
19.01.2011 7:17:19 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\DgGhUSX585B2eo 5.exe Высокая
19.01.2011 7:17:19 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\DgGhUSX585B2eo 5.exe//# Высокая
19.01.2011 7:16:53 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\cY255iWjQv8jCJ 8.exe Высокая
19.01.2011 7:16:53 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\cY255iWjQv8jCJ 8.exe//# Высокая
19.01.2011 7:17:12 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\G8mFIu5epvn2D5 8.exe Высокая
19.01.2011 7:17:12 Удалено троянская программа Trojan.VBS.StartPage.gl C:\Documents and Settings\Алексей\AppData\Local\Temp\G8mFIu5epvn2D5 8.exe//# Высокая
19.01.2011 7:16:40 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Documents and Settings\Алексей\AppData\Local\Temp\m3.exe Высокая
19.01.2011 7:16:46 Удалено троянская программа Trojan-Downloader.Win32.Small.bjqy C:\Documents and Settings\Алексей\AppData\Local\Temp\m2.exe Высокая
19.01.2011 7:16:40 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Documents and Settings\Алексей\AppData\Local\Temp\m3.exe//UPX Высокая
19.01.2011 7:15:48 Удалено троянская программа Trojan-Downloader.Win32.Small.bjqy c:\program files\temp\qq.exe Высокая
19.01.2011 7:31:46 Удалено троянская программа Trojan-Downloader.BAT.Ftp.ab c:\windows\system32\eq Высокая
19.01.2011 7:31:46 Удалено вирус Net-Worm.Win32.Kolab.rvw C:\Windows\System32\iSql\A16.exe Высокая
19.01.2011 7:31:46 Удалено троянская программа Trojan-Downloader.Win32.Agent.fquu C:\Windows\System32\iSql\A95.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.djvl C:\Windows\System32\iSql\F001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dkfy C:\Windows\System32\iSql\G001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Windows\System32\iSql\H001.exe Высокая
20.01.2011 19:17:44 Удалено троянская программа Trojan.Win32.Scar.djvk C:\Windows\System32\iSql\JAYZ.exe Высокая
20.01.2011 19:17:44 Удалено троянская программа Trojan-Dropper.Win32.Agent.dyld C:\Windows\System32\iSql\K001.exe Высокая
20.01.2011 19:17:45 Удалено троянская программа Backdoor.Win32.Httpbot.apk C:\Windows\System32\iSql\H002.exe Высокая
20.01.2011 10:50:11 Удалено троянская программа Trojan-Downloader.VBS.Small.az C:\1.vbs Высокая
20.01.2011 19:17:45 Удалено троянская программа Trojan.Win32.Scar.dgkb C:\Windows\System32\iSql\H001.exe//UPX Высокая

Как и АВГ ловит iSQL-ы в больших количествах, но кажется это следствие, а вот причины не видно :-(

Ну и процессор Касперский весь сжирает - хотя это может из-за вирусов как раз..

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\program files\rmnjiq.exe
c:\windows\system32\omyo.exe
c:\windows\system32\rmnjiq.exe

Driver::
3600
BAlmNFna
WMMNetworkJbr

NetSvc::

Folder::
c:\windows\system32\iSql

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Mielofon]

Выполнил..

[polword]

что с проблемой?

[Mielofon]

Всё так же - куча C:\Windows\System32\iSql\A*.exe в системе после перезагрузки..

[миднайт]

Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
end.

1. Находится ли машина в сети?
2. Подключались ли флэшки при сканировании с LiveCD? (если нет - сделайте)
3. Делалось ли полное сканирование всех дисков в LiveCD?
Пересканируйте систему с подключенными флэшками. Затем лог virusinfo_syscheck повторите.

[Mielofon]

1. Да. Домашняя сеть 3 компьютера + интернет
2. нет. Зачем не понял? Проверить Флешки? Ну так они чистые и с появлением вирусов никак не связаны они...
3. Да.

Добавлено через 1 час 30 минут

Сделал "Скрипт сбора неопознанных и подозрительных файлов"
22.01.2011 00:20 108*189*228 virusinfo_files_АЛЕКСЕЙ-ПК.zip

Получилось больше 80Мег. Как и куда его залить?
просто ссылку сюда брошу подойдёт?

[thyrex]

1. Да. Домашняя сеть 3 компьютера + интернет

Неплохо было бы исследовать и остальные 2 машины

[Mielofon]

Проверю и логи скину, но у на тех машинах XP и проблем с iSQL нет.

[thyrex]

Выберите, пожалуйста, где будете продолжать лечение: здесь или в 911