Кейлоггер от StaffCop c:\administrador\schedulersvc.exe - ваш?
Ammyy Admin
Код:
c:\users\administrator\appdata\local\microsoft\windows\temporary internet files\content.ie5\eshpanh9\aa_v3[1].exe
ваш?
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
TerminateProcessByName('c:\users\administrator\system\winlogon.exe');
TerminateProcessByName('c:\windows\fonts\web\taskhost.exe');
TerminateProcessByName('c:\windows\fonts\web\winlogon.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
StopService('spoolsrvrs');
StopService('TrkWk');
StopService('werlsfks');
QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe', '');
QuarantineFile('c:\users\administrator\system\winlogon.exe', '');
QuarantineFile('c:\windows\fonts\web\taskhost.exe', '');
QuarantineFile('c:\windows\fonts\web\winlogon.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
DeleteFile('c:\users\administrator\appdata\local\microsoft\windows\temporary internet files\content.ie5\eshpanh9\aa_v3[1].exe', '');
DeleteFile('C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ESHPANH9\AA_v3[1].exe', '32');
DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe', '32');
DeleteFile('c:\users\administrator\system\winlogon.exe', '');
DeleteFile('C:\Users\Administrator\System\winlogon.exe', '32');
DeleteFile('c:\windows\fonts\web\taskhost.exe', '');
DeleteFile('C:\Windows\Fonts\web\taskhost.exe', '32');
DeleteFile('c:\windows\fonts\web\winlogon.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
DeleteService('spoolsrvrs');
DeleteService('TrkWk');
DeleteService('werlsfks');
DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
DeleteDirectory('c:\windows\inf\netlibrariestip');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Administrator^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^IMG001.exe', '32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
end.
перезагрузите сервер вручную.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
Код:
- "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.lnk" -> ["C:\Users\Administrator\System\winlogon.exe"]
>>> "C:\Users\Администратор\WINDOWS\ARJ.PIF" -> ["ARJ.EXE"]
>>> "C:\Users\Администратор\WINDOWS\LHA.PIF" -> ["LHA.EXE"]
>>> "C:\Users\Администратор\WINDOWS\PKUNZIP.PIF" -> ["PKUNZIP.EXE"]
>>> "C:\Users\Администратор\WINDOWS\PKZIP.PIF" -> ["PKZIP.EXE"]
>>> "C:\Users\Администратор\WINDOWS\RAR.PIF" -> ["RAR.EXE"]
>>> "C:\Users\Администратор\WINDOWS\UC.PIF" -> ["UC.EXE"]
- "C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\administratuer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\login\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\q\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\SERVER-KCN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\win\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
- "C:\Users\windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe" (0 байт)
Отчёт о работе прикрепите.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.