-
Junior Member
- Вес репутации
- 51
Спамерский сетевой червяк
Доброго времени суток!
Прошу помощи: никак не могу избавиться от червяка(ей).
Что происходит с системой - куча заданий Ат в планировщике + через определенное время выскакивает IE и открывает рандомную страницу + червь стучится через рандомный порт локальный на удаленный 25 (делаю команду netstat -a и все вижу).
Один сидит в папке в папке D:\Documents and Settings\All Users\Application Data\
имя его 1QU2u813.exe (+появляется файл конфига его EP3163Xk.dat). ДрВеб его не видит. Убиваю процесс, удаляю его - через некоторое время он все равно появляется (др веб молчит).
Предполагаю чтооо, червь прописался (дописался) к какому-нить системному процессу и я его не вижу.
Прикрепляю логи и результат команды netstat -a.
еще раз прошу о помощи)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\documents and settings\all users\application data\1qu2u813.exe');
QuarantineFile('d:\documents and settings\all users\application data\1qu2u813.exe','');
DeleteFile('d:\documents and settings\all users\application data\1qu2u813.exe');
DeleteFileMask('%windir%\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось snusnumrik; 22.05.2010 в 11:36.
-
virus.zip удалите из вложений и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
В имена этих файлов
Код:
<pre>
c:\program files\VMware\VMware Workstation\hqtray .exe --->c:\program files\VMware\VMware Workstation\hqtray.exe
c:\program files\VMware\VMware Workstation\vmware-tray .exe --->c:\program files\VMware\VMware Workstation\vmware-tray.exe
</pre>
добавлены лишние пробелы перед расширением. Если ComboFix сам все не исправил, удалите эти пробелы
Эти файлы и их записи в реестре
d:\documents and settings\Spok\Application Data\AGAVA TBP
d:\documents and settings\Spok\Application Data\AGAVA TBP\filterdb.stg
d:\documents and settings\Spok\Application Data\AGAVA TBP\learndb.stg
d:\documents and settings\Spok\Application Data\AGAVA TBP\settings.stg
восстановите из карантина ComboFix http://virusinfo.info/showpost.php?p=514765&postcount=3
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
В остальном чисто. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
да, вроде чисто. Сетевой активности не наблюдаю)И что это за червь был?Т.е. как на него в дальнейшем не наступить?
Все что нужно - пришлю)
-
Сообщение от
snusnumrik
И что это за червь был?
Только после анализа карантина можно будет что-то сказать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
В карантине Trojan-Downloader.Win32.Agent.dqzw
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
В карантине Trojan-Downloader.Win32.Agent.dqzw
интересует способ его проникновения в систему, чтоб уметь предохраняться
-
Для ответа нужно быть вирусным аналитиком и разобрать зверя по косточкам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- d:\documents and settings\all users\application data\1qu2u813.exe - Trojan-Downloader.Win32.Agent.dqzw ( DrWEB: Trojan.DownLoad1.59985, BitDefender: Trojan.Generic.3914917, NOD32: Win32/TrojanClicker.Agent.NEB trojan )
-