-
Junior Member
- Вес репутации
- 43
периодически создается новый пользовалтель [HEUR:Trojan-Downloader.Script.Generic
]
Здравсвуйте.
У меня Windows 7 Enterprize. Периодически в системе самовольно создается пользователь с именем piress и неизвестным паролем, а в папке C:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5\ создаются папки с именем случайных букв латинского алфавита, в которых появляются файлы с именами lsass[1].exe (Nod распознает его как Win32/Farfli.KA trojan), 007[1].exe (Win32/ServStat.AD trojan), 33[1] (Win32/ServStat.AD trojan), 1[1].exe (Win32/Farfli.NZ trojan).
После лечения и удаления созданного пользователя через некоторое время все повторяется опять.
virusinfo_syscheck.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) _dimitry_, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
_dimitry_,
Здравствуйте!
1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Windows\78A517CC', '*', true, '', 0, 0);
QuarantineFileF('C:\Windows\Tasks\', 'At*.job', true, '', 0, 0);
DeleteFileMask('C:\Windows\78A517CC', '*', true);
DeleteFileMask('C:\Windows\Tasks\', 'At*.job', true);
DeleteDirectory('C:\Windows\78A517CC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После перезагрузки!
3. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте лог AVZ + лог RSIT
-
-
Junior Member
- Вес репутации
- 43
Последний раз редактировалось thyrex; 27.08.2012 в 00:28.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
-
Microsoft SQL Server - у Вас последняя версия? все обновления установлены?
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Кстати, где-то час назад опять появился новый пользователь. В это время сработал ESET
Код:
28.08.2012 19:41:31 Real-time file system protection file C:\Windows\temp\isetup.exe a variant of Win32/ServStart.AD trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe.
Плюс в корне диска C: нашел подозрительный скриптик. По ходу он коннектится к адресу в нете, скачивает оттуда что-то и сохраняет это что-то в папку Windows. Прикриплеяю файлик в архиве
MS SQL 2008. Это скорее всего Express версия, которая идет в комплекте с Visual Studio, полную не ставил. Я им практически не пользуюсь
-
Сообщение от
_dimitry_
Я им практически не пользуюсь
Зато им пользуется вирус. Потому или снесите вообще, или установите последнюю версию (не забыв ее обновить до упора)
Саму систему тоже не помешает обновить. SP1 устанеовите + все новые обновы
C:/Program Files/PostgreSQL - это тоже не Ваше?
Код:
C:\Windows\tt
C:\Windows\bb
C:\Windows\kk
очистите эти папки
C:\mcsql.vbs запакуйте в zip-архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
thyrex
C:/Program Files/PostgreSQL - это тоже не Ваше?
Этим, как раз, я активно пользуюсь.
Код:
C:\Windows\tt
C:\Windows\bb
C:\Windows\kk
Эти папки были пусты, я их удалил.
-
Сообщение от
_dimitry_
Этим, как раз, я активно пользуюсь
Не исключено, что его дырами вирус пользуется так же активно
C:\mcsql.vbs удалите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
PostgreSQL удалить не могу, он мне нужен.
C:\mcsql.vbs удалил с режима восстановления, в винде его блокировал какой-то процес.
-
Junior Member
- Вес репутации
- 43
SP 1 поставил, новые обновления поступают постоянно.
Я так понял, что пользователь появляется каждый раз, когда я загружаюсь в систему. Просто чаще всего компьютер находится в режиме гиберинации, но каждый раз, когда выключаю его и загружаюсь заново, антивирус ловит это: C:\Windows\temp\isetup.exe, после чего появляется новый пользователь с указаннным выше именем piress и неизвестным паролем. Я сразу его удаляю.
Кстати, что там с фаликом mcsql.vbs? Может ли он иметь отношение ко всему происходящему?
Что дальше?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- \\mcsql.vbs - HEUR:Trojan-Downloader.Script.Generic ( AVAST4: VBS:Obfuscated-gen [Trj] )
-