Показано с 1 по 14 из 14.

периодически создается новый пользовалтель [HEUR:Trojan-Downloader.Script.Generic ] (заявка № 123550)

  1. #1
    Junior Member Репутация
    Регистрация
    15.08.2012
    Сообщений
    8
    Вес репутации
    43

    периодически создается новый пользовалтель [HEUR:Trojan-Downloader.Script.Generic ]

    Здравсвуйте.
    У меня Windows 7 Enterprize. Периодически в системе самовольно создается пользователь с именем piress и неизвестным паролем, а в папке C:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5\ создаются папки с именем случайных букв латинского алфавита, в которых появляются файлы с именами lsass[1].exe (Nod распознает его как Win32/Farfli.KA trojan), 007[1].exe (Win32/ServStat.AD trojan), 33[1] (Win32/ServStat.AD trojan), 1[1].exe (Win32/Farfli.NZ trojan).
    После лечения и удаления созданного пользователя через некоторое время все повторяется опять.
    virusinfo_syscheck.zip
    hijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) _dimitry_, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    138
    _dimitry_,
    Здравствуйте!

    1. Отключите временно Антивирус/Фаервол.

    2. Выполните скрипт в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFileF('C:\Windows\78A517CC', '*', true, '', 0, 0);
     QuarantineFileF('C:\Windows\Tasks\', 'At*.job', true, '', 0, 0);
     DeleteFileMask('C:\Windows\78A517CC', '*', true);
     DeleteFileMask('C:\Windows\Tasks\', 'At*.job', true);
     DeleteDirectory('C:\Windows\78A517CC');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После перезагрузки!


    3. Выполните скрипт в AVZ

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Сделайте лог AVZ + лог RSIT

  5. #4
    Junior Member Репутация
    Регистрация
    15.08.2012
    Сообщений
    8
    Вес репутации
    43
    Последний раз редактировалось thyrex; 27.08.2012 в 00:28.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи RSIT где?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    15.08.2012
    Сообщений
    8
    Вес репутации
    43
    Код:
    info.txt
    log.txt

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft SQL Server - у Вас последняя версия? все обновления установлены?

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    15.08.2012
    Сообщений
    8
    Вес репутации
    43
    Код:
    ComboFix.txt
    Кстати, где-то час назад опять появился новый пользователь. В это время сработал ESET
    Код:
    28.08.2012 19:41:31	Real-time file system protection	file	C:\Windows\temp\isetup.exe	a variant of Win32/ServStart.AD trojan	cleaned by deleting - quarantined	NT AUTHORITY\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe.
    Плюс в корне диска C: нашел подозрительный скриптик. По ходу он коннектится к адресу в нете, скачивает оттуда что-то и сохраняет это что-то в папку Windows. Прикриплеяю файлик в архиве
    Код:
    mcsql.rar
    MS SQL 2008. Это скорее всего Express версия, которая идет в комплекте с Visual Studio, полную не ставил. Я им практически не пользуюсь

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от _dimitry_ Посмотреть сообщение
    Я им практически не пользуюсь
    Зато им пользуется вирус. Потому или снесите вообще, или установите последнюю версию (не забыв ее обновить до упора)

    Саму систему тоже не помешает обновить. SP1 устанеовите + все новые обновы

    C:/Program Files/PostgreSQL - это тоже не Ваше?

    Код:
    C:\Windows\tt
    C:\Windows\bb
    C:\Windows\kk
    очистите эти папки

    C:\mcsql.vbs запакуйте в zip-архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    15.08.2012
    Сообщений
    8
    Вес репутации
    43
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:/Program Files/PostgreSQL - это тоже не Ваше?
    Этим, как раз, я активно пользуюсь.

    Код:
    C:\Windows\tt
    C:\Windows\bb
    C:\Windows\kk
    Эти папки были пусты, я их удалил.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от _dimitry_ Посмотреть сообщение
    Этим, как раз, я активно пользуюсь
    Не исключено, что его дырами вирус пользуется так же активно

    C:\mcsql.vbs удалите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    15.08.2012
    Сообщений
    8
    Вес репутации
    43
    PostgreSQL удалить не могу, он мне нужен.
    C:\mcsql.vbs удалил с режима восстановления, в винде его блокировал какой-то процес.

  14. #13
    Junior Member Репутация
    Регистрация
    15.08.2012
    Сообщений
    8
    Вес репутации
    43
    SP 1 поставил, новые обновления поступают постоянно.
    Я так понял, что пользователь появляется каждый раз, когда я загружаюсь в систему. Просто чаще всего компьютер находится в режиме гиберинации, но каждый раз, когда выключаю его и загружаюсь заново, антивирус ловит это: C:\Windows\temp\isetup.exe, после чего появляется новый пользователь с указаннным выше именем piress и неизвестным паролем. Я сразу его удаляю.
    Кстати, что там с фаликом mcsql.vbs? Может ли он иметь отношение ко всему происходящему?

    Что дальше?

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 25
    • В ходе лечения обнаружены вредоносные программы:
      1. \\mcsql.vbs - HEUR:Trojan-Downloader.Script.Generic ( AVAST4: VBS:Obfuscated-gen [Trj] )


  • Уважаемый(ая) _dimitry_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 23.03.2012, 13:03
    2. Ответов: 2
      Последнее сообщение: 24.11.2011, 21:41
    3. Периодически зависает IE
      От sse в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.02.2009, 19:22
    4. Периодически трояны
      От Кто? в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.11.2006, 12:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00863 seconds with 20 queries