Показано с 1 по 11 из 11.

Вирус папка.exe во флешке создан процессом :services ? (заявка № 81274)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    15
    Вес репутации
    51

    Thumbs up Вирус папка.exe во флешке создан процессом :services ?

    Доброго времени специалистам проекта ВирусИнфо.
    Так Вот. После путешествия флешки по двум компам на третьем было обнаружено, что во флешке были заменены папки находящиеся в корневом каталоге файлами типа "название_папки.exe". Комп №1 мне не доступен. В компе №2(этот комп) позже был обнаружен процесс :service.exe и snmp.exe в диспетчере задач. Проверка ежеденевно обновляемым Nod 4 компа №2 не показала вирусов, Но комп №3 обнаружил точно таким же Nod 4 что :service.exe вирус типа WIN32\RemoteAdmin.RAdmin.20 и думаю что полностью удалил.
    При выполнении пунктов "Правил" на компе №2 AVPTool так же определил его как вирус Radmin (здесь полностью не запомнил так как не подумав удалил антивирус когда он предложил). После выполнения правил остался процесс snmp.exe. Тестирование компа №2 флешкой не показало замены папок на exe. В интернете нашел описание вируса/трояна Пинча с схожими последствиями и в срочном порядке сменил все пароли на логинах в инете.
    Логи проверки прилагаю.
    Последний раз редактировалось Halcyon; 13.12.2010 в 19:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    15
    Вес репутации
    51
    НЕ знаю даже стоит дополнить. 1) заражение произошло либо из локальной сети либо с компа №1. Если из локальной сети(ЛС) - это не означает ли что злоумышленник находится в в ЛС? в таком случае я бы мог найти его и "наказать". вот только как определить кто он, если он до сих пор действует в сети?

    2)Может быть вариантом что первым был заражен комп №3, так как флешка постоянно используется на нем и за пару дней до обнаружения вируса комп №3 был грубо лишен некоторых папок типа Install в папке windows, папок программ в Application Date папок <пользователь> и All, после чего понял что "Установкой и удалением программ" некоторые программы удалить не получится, удалил их YourUninstal'ом. Так же подвергался освобождению места и чистке реестра различными программами типа CCleaner. В последующие дни на нем при запуске программы типа PeerToPeer (ApexDC) (он только по локальной сети) сильно тормозил компьютер и перезагружал через диспетчер задач, после очистки железа от тополиного пуха - это явление исчезло. Советов по правилам пользования компьютера прошу не давать, так как данный(проверяемый) компьютер используется аккуратно, ввиду того что регулярный его пользователь знает и использует только штатные средства управления операционной системы.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Halcyon Посмотреть сообщение
    что во флешке были заменены папки находящиеся в корневом каталоге файлами типа "название_папки.exe"
    Папки получили атрибут "скрытый" и остались на флешке. Все файлы, получившие имена папок, имеют одинаковый размер и иконку в виде папки.
    Увидеть все это можно в файловом менеджере типа Total Commander, Far

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\1025v.exe','');
     DeleteService('W32TimeSwPrv');
     DeleteFile('C:\WINDOWS\system32\1025v.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    15
    Вес репутации
    51
    Выслал запрошенный карантин. (Но при просмотре карантина имелись три файла от 2010-06-18, т е вчера добавлены (от игры, htm, PE файл с нестандарнным расширением) не добавил в архив)
    A Это по архиву:
    Файл сохранён как 100618_232356_virus_4c1bc7cce2354.zip
    Размер файла 590
    MD5 3075933a8a6e072484a8f791e3d06083

    Добавлено через 4 часа 0 минут

    При запуске автоматической экспрес-проверки в окне было выделено красным:
    Service C:\windiws\system32\svchost.exe (***hidden***) [AUTO]xmqzibbn
    и появилось сообщение от GMER: Warning. GMER has found system modification, which might have been caused by ROOTKIT activity.
    я согласился сканировать систему.
    Пункт SCAN ЕЩЕ ВЫПОЛНЯЮ
    Последний раз редактировалось Halcyon; 19.06.2010 в 04:04. Причина: Добавлено
    Мало ли что антивирус сказал.

  6. #5
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    15
    Вес репутации
    51

    Высылаю логи

    Последовательность выполнения после высылки карантина:
    Восстановление системы еще было отключено.
    Выполнил шестой пункт раздела "После загрузки инструментов"
    1. Первый пункт из диагностики AVZ
    В конце выполнения скрипта вышло сообшение Windows:
    Система завершает работу. ... Отключение системы вызвано NT AUTHORITY\SYSTEM
    ... Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741819. "Будет перезагрузка"
    После перезагрузки выполнил снова первый пункт диагностики AVZ. завершился удачно. Перезагрузился.
    2. Выполнил второй пункт диагностики AVZ. без происшествий.
    3. Выполнил третий пункт диагностики AVZ
    4. Выполнял пункты необходимые для создания логов из темы о GMER:
    Вот тут и было то что написал в предыдущем посте:
    При запуске автоматической экспрес-проверки в окне было выделено красным:
    Service C:\windiws\system32\svchost.exe (***hidden***) [AUTO]xmqzibbn
    и появилось сообщение от GMER: Warning. GMER has found system modification, which might have been caused by ROOTKIT activity.
    я согласился сканировать систему.
    По завершении сканирования Gmer выдал сообщение о активных рукитах в системе. нажал ок. Сохранил лог gmer_2010_06_19_06_01.log. Запустил Пункт Scan в соответствии с инструкцией темы о GMER. В конце он снова предупредил о рукитах. согласился. сохранил лог gmer_2010_06_19_15_14.log который и высылаю.
    Последний раз редактировалось Halcyon; 13.12.2010 в 19:06.
    Мало ли что антивирус сказал.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится 30sl64hg.exe (gmer)
    Код:
    30sl64hg.exe -del service xmqzibbn
    30sl64hg.exe -del file "C:\WINDOWS\system32\hskwnnl.dll"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xmqzibbn"
    30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\xmqzibbn"
    30sl64hg.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделать новый лог gmer.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    15
    Вес репутации
    51

    Простите что долго не отвечал. Не заметил требование о высылке лога.

    Высылаю лог GMER после выполнения пункта с cleanup.bat.
    Мало ли что антивирус сказал.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог чист. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    22.05.2010
    Сообщений
    15
    Вес репутации
    51
    Проблемы нет. Но стоит ли отключить службу "сервер SNMP", что в диспетчере задач стоит процессом snmp.exe? до заражения его не было. по сути вроде не нужен, и от зависимых служб нету.
    Мало ли что антивирус сказал.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Вам лучше знать, нужно это: http://ru.wikipedia.org/wiki/SNMP или нет.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Halcyon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблема с процессом services.exe (заявка №17683)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 23.01.2011, 03:01
    2. Папка RECYCLER на флешке
      От alter-sl в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.11.2010, 00:15
    3. Проблема с процессом services.exe
      От рим aka волшебник в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.08.2010, 23:54
    4. Папка Cave на флешке
      От Denton в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.12.2008, 09:49
    5. Загрузка процессора процессом services.exe
      От Tinky в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.11.2008, 17:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01131 seconds with 19 queries