В системной папке нет такого файла. Может антивирус удалил.
папка ZOO пуста. Подобный файл я уже присылал в карантин.
образ автозапуска сделал. тут скриншот: http://rghost.ru/download/6PHknf4Qk/...843/screen.jpg
Обвел красным что меня напрягло. у меня нет clear.cmd и никогда не было, папки такой нет. у меня не может быть ярлыка для удаления тулзы активация. у меня лицензия везде. Ссылка на какие-то подозрительные екзешники, которых тоже не должно быть в системе.
И что за не стандартные свойства связи DCOM. Подозрительно.
тут лог образ автозапуска: http://rghost.ru/download/8dMyFf7Vl/...3_01-07-37.zip с паролем virus
З.Ы. К сожалению скрипт не выполнил, устал, не так прочел. Но т.к. файла такого нет, есть ли смысл его выполнять?
Помоему прибавилось служб со странными именами (случайный набор символов), все не запущены, все ссылаются на %SystemRoot%\F1DA5145.EXE, но такого файла нет.
З.Ы.-2 Если этот файл нужен могу попробовать поискать его в бэкапе и оттуда вытащить.
Последний раз редактировалось norlest; 23.10.2015 в 01:40.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
З.Ы. К сожалению скрипт не выполнил, устал, не так прочел. Но т.к. файла такого нет, есть ли смысл его выполнять?
Помоему прибавилось служб со странными именами (случайный набор символов), все не запущены, все ссылаются на %SystemRoot%\F1DA5145.EXE, но такого файла нет.
Лучше скрипт выполнить, если бэкдора нет - зачистит хвосты за ним. А последующий образ показал бы результат - если бы ссылки на вирус не стало - ок, он удалён.
Меня смутило вот ещё что. В первом образе автозапуска (как и в последующих) видим: файла C:\WINDOWS\F1DA5145.EXE как бы нет:
Полное имя C:\WINDOWS\F1DA5145.EXE
Имя файла F1DA5145.EXE
Тек. статус сервис в автозапуске
Сохраненная информация на момент создания образа
Статус сервис в автозапуске
Инф. о файле Не удается найти указанный файл.
Только куча сервисов, относящихся к нему. Но далее, в логе TDSSKiller видим:
Т. е. файл существует, его хэши MD5 и SHA256 отражены в логе. При этом путаница такая: образ автозапуска UVS создан в 17:16 (запуск программы в 17:06), а лог TDSSKiller - в 13:47, хотя был запрошен позже
Если реально он выполнялся позже - очень похоже на то, что этот троян хорошо скрывает себя, и не виден даже в безопасном режиме.
Сообщение от norlest
З.Ы.-2 Если этот файл нужен могу попробовать поискать его в бэкапе и оттуда вытащить.
Да, смысл есть, судя по хэшам, файл отличается от того, что Вы загрузили в карантин.
Скрипт выполнил. Лог приложил.
Сейчас уже не вспомню в какой последовательности их запускал. Но делал строго что просили и именно в такой последовательности. По сообщениям можно проследить.
В бэкапе этого файла нет, просмотрел с 22,10 по 16,10, больше просто не храню. Сейчас увеличу глубину бэкапа и поищу по другим серверам эти подозрительные файлы (clear.cmd dump_dickdump.sys и т.д.).
Заметил одну интересную вещь: у всех профилей заблокирован ntuser.dat причем заблокирован системой. Даже в профилях людей. которые уволились и не логинились несколько лет (за это время было много перезагрузок сервера).
К сожалению, это образ автозапуска самой LiveCD и полезной информации он не содержит. Надо было кликнуть пункт "Выбрать каталог Windows" и указать на расположение каталога системы на HDD.
насколько я проверял процессы:
svchost.exe ломится в инет на этот адрес (проверял, процесс не подменный, а родной, просто инфицированный, пытался его восстанавливать из дистрибутива командой SFC) и распространяет его по сети
Да, есть обращения к hosted-by.emgoldexnet.com в логе. Но, тем не менее, по образу автозапуска, сделанному с LiveCD, можно утверждать, что, по крайней мере, в автозапуске трояна точно нет. То ли по сети что-то лезет, то ли ещё что.
Выполните от администратора команду BITSADMIN /RESET /ALLUSERS
Если есть возможность, выведите компьютер из домена, зайдите под локальным администратором и последите за его поведением.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: