На одном из побочных серверов произошла проблема,
Вирус соединяется с различными RDP по всему миру, AVZ пишет подмену портов, но ничего не лечит.
Прошу помощи
Да, Server2003
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
На одном из побочных серверов произошла проблема,
Вирус соединяется с различными RDP по всему миру, AVZ пишет подмену портов, но ничего не лечит.
Прошу помощи
Да, Server2003
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
Последний раз редактировалось Croozy; 24.02.2012 в 12:44.
Уважаемый(ая) Croozy, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Апну что ли
Добавлено через 57 минут
Ну еще раз апну, наверное
Добавлено через 1 час 19 минут
Неужели никто не может помочь?
Последний раз редактировалось Croozy; 24.02.2012 в 15:56. Причина: Добавлено
Лог Mbam
mbam-log-2012-02-27 (17-33-40).txt
c:\directory\CyberGate знакомо?
Нет, не знакомо. Не устанавливал такого.
Похоже на вирус, но без точного знания не лезу.
- Выполните в АВЗ:
Перезагрузите компьютерКод:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\system\update.exe',''); QuarantineFile('C:\WINDOWS\system\svchost.exe',''); QuarantineFile('C:\WINDOWS\system\csrss.exe',''); QuarantineFile('C:\Program Files\Common Files\Microsoft\Winlogon\winlogon.exe',''); QuarantineFile('C:\Program Files\Common Files\Microsoft\Winlogon\svchost.exe',''); QuarantineFile('C:\Program Files\Microsoft\csrss.exe',''); QuarantineFile('c:\directory\CyberGate\install\server.exe',''); DeleteFile('c:\directory\CyberGate\install\server.exe'); DelCLSID('{300E2DBH-3IUD-NL4G-33QQ-8BSJPK3FTDL3}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','HKLM'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies'); DeleteFileMask('c:\directory\CyberGate','*',true); DeleteDirectory('c:\directory\CyberGate'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Повторите логи АВЗ hijackthis и MBAM.
Что с проблемой?
Логи
hijackthis.log
Карантин прислал.
Последний раз редактировалось Croozy; 29.02.2012 в 13:26.
Проблема осталась
Лог MBAM новый
mbam-log-2012-02-29 (13-27-57).txt
Удалите в MBAM:
Программа знакома? C:\Program Files\StaffCopКод:HKLM\SYSTEM\CurrentControlSet\Services\msupdate (Trojan.Agent) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Csrss (Trojan.Agent) -> Параметры: C:\Program Files\Microsoft\csrss.exe -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2012-02-24\avz00001.dta (Trojan.Simda) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Quarantine\2012-02-29\avz00004.dta (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Quarantine\2012-02-29\avz00005.dta (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Quarantine\2012-02-29\avz00006.dta (Malware.Packer.as) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Quarantine\2012-02-29\bcqr00007.dat (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Quarantine\2012-02-29\bcqr00008.dat (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Quarantine\2012-02-29\bcqr00009.dat (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Desktop\avz4\Quarantine\2012-02-29\bcqr00010.dat (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Local Settings\Temp\471781_crypted_17.46_bot.exe (Backdoor.Bot) -> Действие не было предпринято. C:\Program Files\Common Files\Microsoft\Winlogon\svchost.exe (Trojan.Agent) -> Действие не было предпринято. C:\Program Files\Common Files\Microsoft\Winlogon\winlogon.exe (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\mssrv32.exe (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system\csrss.exe (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system\svchost.exe (Backdoor.Bot) -> Действие не было предпринято. C:\WINDOWS\system\update.exe (Trojan.Agent) -> Действие не было предпринято.
- Выполните в АВЗ:
перезагрузите компьютерКод:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\Offline Web Pages\cache.txt',''); BC_ImportAll; BC_Activate; end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Повторите лог MBAM.
Выполнено.
Да, знакома. Используется для отслеживания всякого на сервере в терминалах. Если надо - переустановлю. Лицензия и дистрибутив есть. Она в свою очередь не вирус.Программа знакома? C:\Program Files\StaffCop
Выполнено
Выполненоперезагрузите компьютер
ЗагруженоПосле перезагрузки:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Новый логПовторите лог MBAM.
mbam-log-2012-02-29 (18-57-18).txt
Последний раз редактировалось Croozy; 29.02.2012 в 18:55.
Все выполнил по инструкции
Тестировалось ночь.
Проблемы нет.
Спасибо за помощь.
Не могли бы подсказать что это было?
c:\directory\CyberGate\install\server.exe - Trojan-Dropper.Win32.Injector.bmzh (Касперский)
C:\Program Files\Common Files\Microsoft\Winlogon\svchost.exe, C:\Program Files\Common Files\Microsoft\Winlogon\winlogon.exe, - Trojan.Win32.Buzus.gltn (Касперский)
C:\WINDOWS\system\svchost.exe, C:\WINDOWS\system\update.exe - Trojan-Downloader.MSIL.Murlo.am (Касперский)
Если файл и папка Вам не знакомы удалите C:\WINDOWS\Offline Web Pages\cache.txt
Также посмотрите содержимое папок:
Смените все пароли!!!Код:C:\WINDOWS\system C:\Program Files\Common Files\Microsoft\Winlogon
Спасибо за помощь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\directory\\cybergate\\install\\server.exe - Trojan-Dropper.Win32.Injector.bmzh ( DrWEB: Trojan.MulDrop3.27214, BitDefender: Trojan.Generic.KDV.504228, AVAST4: Win32:VB-ACSA [Trj] )
- c:\\program files\\common files\\microsoft\\winlogon\\svchost.exe - Trojan.Win32.Buzus.gltn ( DrWEB: Trojan.MulDrop3.46889, BitDefender: Backdoor.Bifrose.AAKK, AVAST4: Win32:Regrun-BN [Trj] )
- c:\\program files\\common files\\microsoft\\winlogon\\winlogon.exe - Trojan.Win32.Buzus.gltn ( DrWEB: Trojan.MulDrop3.46889, BitDefender: Backdoor.Bifrose.AAKK, AVAST4: Win32:Regrun-BN [Trj] )
- c:\\windows\\offline web pages\\cache.txt - Worm.Win32.Mort.c ( DrWEB: BackDoor.Morto.1, BitDefender: Gen:Variant.Barys.2518, NOD32: Win32/Morto.O worm, AVAST4: Win32:Morto-I [Wrm] )
- c:\\windows\\system\\svchost.exe - Trojan-Downloader.MSIL.Murlo.am ( DrWEB: Trojan.DownLoader5.52278, BitDefender: Trojan.Generic.5583741, AVAST4: Win32:Malware-gen )
- c:\\windows\\system\\update.exe - Trojan-Downloader.MSIL.Small.bk ( DrWEB: Trojan.DownLoad3.1328, BitDefender: Trojan.Generic.5056028 )
Уважаемый(ая) Croozy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.