Показано с 1 по 6 из 6.

Неизвестный вирус загружает трояны и боты (заявка № 115586)

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2012
    Сообщений
    2
    Вес репутации
    22

    Неизвестный вирус загружает трояны и боты

    Здраствуйте.
    В систему, судя по всему, пробрался некий незамечаемый антивирусами загрузчик, который при появлении интернета загружает целую обойму вредоносов.

    Замеченные проявления:
    • Заражает флешки: создает файл автозапуска, делает папки системными, а рядом ярлыки на запуск вируса с именем скрытых файлов.
    • Создает файлы вида "xx.exe" где x – цифра в папке system32
    • в Documents and Settings/NetworkService/ раскидывает ддосеры
    • в D&S/User тоже создает экзешник
    Создал логи по инструкции и высылаю вам, спасибо за помошь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Aleksander Golmakov, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Здравствуйте!

    сделайте поиск на компьютере файла -init.exe если найдёте загрузите в карантин согласно правилам.

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('-init.exe','');
     QuarantineFile('C:\WINDOWS\system32\-init.exe','');
     QuarantineFile('C:\WINDOWS\system32\03.exe','');
     QuarantineFile('C:\WINDOWS\system32\06.exe','');
     QuarantineFile('C:\WINDOWS\system32\13.exe','');
     QuarantineFile('C:\WINDOWS\system32\23.exe','');
     QuarantineFile('C:\WINDOWS\system32\27.exe','');
     QuarantineFile('C:\WINDOWS\system32\33.exe','');
     QuarantineFile('C:\WINDOWS\system32\50.exe','');
     QuarantineFile('C:\WINDOWS\system32\67.exe','');
     QuarantineFile('C:\WINDOWS\system32\87.exe','');
     DeleteFile('-init.exe');
     DeleteFile('C:\WINDOWS\system32\03.exe');
     DeleteFile('C:\WINDOWS\system32\06.exe');
     DeleteFile('C:\WINDOWS\system32\13.exe');
     DeleteFile('C:\WINDOWS\system32\23.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\33.exe');
     DeleteFile('C:\WINDOWS\system32\50.exe');
     DeleteFile('C:\WINDOWS\system32\67.exe');
     DeleteFile('C:\WINDOWS\system32\87.exe');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Сделайте лог полного сканирования МВАМ

  5. #4
    Junior Member Репутация
    Регистрация
    26.01.2012
    Сообщений
    2
    Вес репутации
    22
    Прошу прощения, что долго не отвечал, был далеко от пострадавшего компа.

    Выполнил все, что вы просили.

    Еще меня смущает куча файлов вида:
    Код:
    C:\Documents and Settings\User\Local Settings\Application Data\4132921.exe
    C:\Documents and Settings\User\Local Settings\Application Data\2817718.exe
    C:\Documents and Settings\User\Local Settings\Application Data\2818593.exe
    C:\Documents and Settings\User\Local Settings\Application Data\2818890.exe
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\057453.exe
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\0715.exe
    C:\Documents and Settings\User\Application Data\vpdya.exe
    C:\Documents and Settings\User\Application Data\yccfj.exe
    C:\Documents and Settings\User\dhdh.exe
    Это только часть, там таких полно.

    И есть подозрительный файл, на который ссылается ярлык из папки автозапуска:
    Код:
    C:\Documents and Settings\User\Local Settings\Temp\_uninst_19537355.bat
    virusinfo_syscheck.zip
    hijackthis.log
    mbam-log-2012-01-31 (21-14-39).txt

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Добавлено через 9 минут

    + выполните такой скрипт

    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);    
     QuarantineFile('C:\WINDOWS\notepad.exe',' '); 
     QuarantineFile('C:\Обмен\Обмен.exe',' ');          
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Удалите в MBAM всё кроме
    Код:
    C:\Documents and Settings\User\Мои документы\Дистрибутивы\Adobe CS5\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    C:\Documents and Settings\User\Мои документы\Дистрибутивы\Photoshop Lightroom 3.4.1\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято.
    C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Обмен\Обмен.exe (Trojan.Chydo) -> Действие не было предпринято.
    Заново просканируйте и прикрепите новый лог сканирования MBAM.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\03.exe - Backdoor.Win32.Floder.fgg ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.698252, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CKO [Trj] )
      2. c:\\windows\\system32\\06.exe - Backdoor.Win32.Floder.fdq ( DrWEB: Trojan.Inject.57625, BitDefender: Trojan.Generic.KDV.424693, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Flooder-HI [Trj] )
      3. c:\\windows\\system32\\23.exe - Backdoor.Win32.Floder.fgg ( DrWEB: BackDoor.Ddoser.131, BitDefender: Backdoor.Generic.698252, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CKO [Trj] )
      4. c:\\windows\\system32\\27.exe - Backdoor.Win32.Floder.fdq ( DrWEB: Trojan.Inject.57625, BitDefender: Trojan.Generic.KDV.424693, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Flooder-HI [Trj] )
      5. c:\\windows\\system32\\33.exe - Trojan.Win32.Inject.bwnh ( DrWEB: Trojan.DownLoader5.18446, BitDefender: Trojan.Generic.KDV.437624, AVAST4: Win32:Malware-gen )
      6. c:\\windows\\system32\\50.exe - Backdoor.Win32.Floder.fbd ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6905580, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Kolab-OW [Trj] )
      7. c:\\windows\\system32\\67.exe - Backdoor.Win32.Floder.fbd ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6905580, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Kolab-OW [Trj] )
      8. c:\\windows\\system32\\87.exe - Trojan.Win32.Inject.bwnh ( DrWEB: Trojan.DownLoader5.18446, BitDefender: Trojan.Generic.KDV.437624, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Aleksander Golmakov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 17.07.2011, 14:21
    2. Неизвестный вирус
      От nana_MeDBeD в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.07.2011, 11:10
    3. неизвестный вирус
      От Samogon120 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.05.2010, 19:58
    4. неизвестный вирус
      От ОЛГЕРД в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.08.2009, 12:47
    5. Спам боты и зараж. - 2
      От Ales K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.07.2008, 16:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00879 seconds with 17 queries