Запуск множество процессов network service Помогите!!!!! [Backdoor.Win32.Farfli.btm, Backdoor.Win32.Farfli.crt ]

[parkhat]

Запуск множество процессов network service Помогите!!!!!

[Info_bot]

Уважаемый(ая) parkhat, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\ProgramFiles\Intel\QQupdatajzyt.exe','');
 QuarantineFile('C:\recycler\hexqq.exe','');
 QuarantineFileF('C:\recycler', '*.exe', true,'', 0, 0, '', '', '');
 QuarantineFileF('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5', '*.exe', true,'', 0, 0, '', '', '');
 DeleteFile('C:\recycler\hexqq.exe','32');
 DeleteFile('C:\ProgramFiles\Intel\QQupdatajzyt.exe','32');
 DeleteFileMask('C:\recycler','*.exe',true);
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteWizard('SCU',2,2,true);
BC_Activate;
end.

Перезагрузите сервер вручную.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[parkhat]

сделал все по инструкции но процессы таки запускаются что делать дальше?

[Vvvyg]

Полный образ автозапуска uVS где?

- - - Добавлено - - -

Грузят на сервер трояны, пока смените админские пароли.

[parkhat]

полный образ автозагрузок

[Vvvyg]

Выполните не из терминальной, а из консольной сессии на сервере следующее.
Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

unload %Sys32%\FTP.EXE
del %Sys32%\FTP.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SOGOU.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\APPLICATION DATA\SVCHVCST.EXE
delref %SystemDrive%\PROGRAMFILES\INTEL\QQUPDATAJZYT.EXE

adddir C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5
adddir C:\recycler
crimg

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Будет создан новый полный образ автозапуска UVS, выложите его в теме.

[parkhat]

ругается что текст скрипта содержит ошибки, либо не содержит команд uVS

[Vvvyg]

Поправил, выполняйте.

[parkhat]

один созданный автоматом второй полный еще раз сделал

[Vvvyg]

Остановите и отключите пока автозагрузку Apach и MS SQL Server (сервис поставьте на запуск вручную). Ломают через одного из них. Затем выполните скрипт в UVS:

Код:

;uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5
deltmp

Перезагрузите сервер и последите, что с процессами от network service.

[parkhat]

отрубил интернет вообще все равно лезут процессы network service

[Vvvyg]

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

adddir C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5
adddir C:\recycler
crimg

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".

Будет создан новый полный образ автозапуска UVS, загрузите на rghost.ru и дайте ссылку в теме.

[parkhat]

ругается что текст скрипта содержит ошибки, либо не содержит команд uVS

- - - Добавлено - - -

http://rghost.ru/57603959

- - - Добавлено - - -

скрипт запустил лог новый закачан в ссылке

[Vvvyg]

Прошу прощения, так и копирую опечатку в скрипте.

Выполните скрипт в UVS:

Код:

;uVS v3.83 BETA 19 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

zoo %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS
; C:\RECYCLER\HEXBAIBIAN.DDS
addsgn 925277EA156AC1CC0B74514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 64 Trojan:Win32/SystemHijack.gen [MS]

zoo %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS
zoo %SystemRoot%\MSCORSVW.COM
delall %SystemRoot%\MSCORSVW.COM
zoo %SystemDrive%\RECYCLER\STBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\STBAIBIAN.DDS
zoo %Sys32%\P.EXE
delall %Sys32%\P.EXE
zoo %Sys32%\NANSHOU-1.EXE
delall %Sys32%\NANSHOU-1.EXE
zoo %Sys32%\NANSHOU.EXE
delall %Sys32%\NANSHOU.EXE
zoo %Sys32%\NANSHOUCS.BAT
delall %Sys32%\NANSHOUCS.BAT
delall %SystemDrive%\1997.COM
delall %Sys32%\IAS\NANSHOU.VBS
chklst
delvir
czoo

и перезагрузите сервер. Новый файл ZOO_*.7Z загрузите в карантин.

Судя по предыдущему образу, сервер от интернета не отключен, Apach и MS SQL работают. Так можно до бесконечности лечить. Перед перезагрузкой хотя бы апач отключите, дырявый он явно, и пароли в нём смените. И в MS SQL на SA поменяйте. Доступ к SQL снаружи нужен? Если нет - закройте файрволом.

Два дырявых компонента, так и будут взламывать постоянно. Про уязвимости самой системы я уже не говорю...

[parkhat]

можете проверить скрипт последний не хочет запускаться

[Vvvyg]

Проверил, работает. Пробуйте в таком виде:

Код:

;uVS v3.83 BETA 19 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

zoo %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS

zoo %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS
delall  %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS
zoo %SystemRoot%\MSCORSVW.COM
delall %SystemRoot%\MSCORSVW.COM
zoo %SystemDrive%\RECYCLER\STBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\STBAIBIAN.DDS
zoo %Sys32%\P.EXE
delall %Sys32%\P.EXE
zoo %Sys32%\NANSHOU-1.EXE
delall %Sys32%\NANSHOU-1.EXE
zoo %Sys32%\NANSHOU.EXE
delall %Sys32%\NANSHOU.EXE
zoo %Sys32%\NANSHOUCS.BAT
delall %Sys32%\NANSHOUCS.BAT
zoo %SystemDrive%\1997.COM
delall %SystemDrive%\1997.COM
zoo %Sys32%\IAS\NANSHOU.VBS
delall %Sys32%\IAS\NANSHOU.VBS
czoo

Копируете полностью, начиная с ";" ?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 143
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\boot3389.exe - Trojan.Win32.Diztakun.cww ( BitDefender: Generic.Malware.SYBd!CTk.2CDA870C )
  2. c:\recycler\hexdown.exe - Backdoor.Win32.Farfli.btm ( BitDefender: Gen:Variant.Graftor.136362, AVAST4: Win32:Malware-gen )
  3. c:\recycler\hexggx.exe - Trojan.Win32.Vehidis.apd ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )
  4. c:\recycler\hexgxx.exe - Trojan.Win32.Vehidis.apd ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )
  5. c:\recycler\hexinfo.exe - Trojan.Win32.Vehidis.apd ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )
  6. c:\recycler\hexmade32.exe - Backdoor.Win32.Farfli.cgk ( BitDefender: Gen:Variant.Symmi.42609, AVAST4: Win32:Agent-ATRJ [Trj] )
  7. c:\recycler\hexnnss.exe - Trojan.Win32.Agent.agmuw ( BitDefender: Gen:Variant.Graftor.144559, AVAST4: Win32:Elknot-N [Trj] )
  8. c:\recycler\hexoffice.exe - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Malware-gen )
  9. c:\recycler\hexsax.exe - Backdoor.Win32.Farfli.crt ( BitDefender: Gen:Variant.Graftor.151311, AVAST4: Win32:Farfli-AH [Trj] )
  10. c:\recycler\hexsvchost.exe - Backdoor.Win32.Farfli.btm ( BitDefender: Gen:Variant.Graftor.145178, AVAST4: Win32:Agent-ATRM [Trj] )
  11. c:\recycler\hexsvhost.exe - Backdoor.Win32.Farfli.cgn ( BitDefender: Gen:Variant.Symmi.170, AVAST4: Win32:Malware-gen )
  12. c:\recycler\stserver.exe - HEUR:Trojan.Win32.Generic ( BitDefender: DeepScan:Generic.Malware.PVPkg.9AE2D38A, AVAST4: Win32:Trojan-gen )