Показано с 1 по 9 из 9.

Неизвестное beqndi.exe в папке пользователя с правами Администратора (заявка № 27234)

  1. #1
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    35

    Exclamation Неизвестное beqndi.exe в папке пользователя с правами Администратора

    Обращаюсь впервые; надеюсь на помощь... Неизвестные beqndi.exe и rnpw.exe в папке пользователя с правами Администратора. Трафик улетает, причём исходящий равен или даже больше входящего. При блокировке beqndi.exe (удалённый адрес: 78.109.18.194.in.hosting.ua, порт: n/a или HTTPS; удалённый адрес: 239.255.255.250, порт: 1900; удалённый адрес: LocalHost, порт: n/a) в Outpost Firewall 1.0 - полный порядок. Что это? Что делать?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    а/вирус отключить.
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\fvhoq.exe','');
     QuarantineFile('c:\documents and settings\Дмитрий\beqndi.exe','');
     DeleteFile('c:\documents and settings\Дмитрий\beqndi.exe');
     DeleteFile('C:\WINDOWS\system32\fvhoq.exe');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи.

    Загрузить карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    35
    Здравствуйте, Павел. Спасибо за отзыв. Не уверен, что всё сделал правильно... (всё-таки в первый раз)
    1) "а/вирус отключить" - это значит: убить процесс (освободить трей) или только выгрузить (отключить мониторинг)?
    2) нужно ли было отключать "восстановление системы" (не отключал!) перед выполнение скрипта, перед выполнением новых логов?
    3) скрипт выполнил. сделал новые логи. загрузил карантин.
    Примечание: мне показалось, что rnpw.exe идентичен beqndi.exe (смотрел ANSI обоих до выполнения скрипта). Оба были скрытые в папке пользователя с правами Администратора. rnpw.exe остался. Что это?
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 30.07.2008 в 00:32.

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    "а/вирус отключить"
    Это значит временно его отключать на время выполнения сриптов в АВЗ и исследования системы при помощи АВЗ.

    нужно ли было отключать "восстановление системы"
    Да нужно отключите и не включайте до окончания лечения.

    загрузил карантин.
    У нас карантин загружается по красной ссылке вверху страницы, а не в тему.

    rnpw.exe остался. Что это?
    rnpw.exe поищите при помощи АВЗ --сервис--поиск файлов на диске. если найдётся - тогда вышлите согласно приложения 3 правил.
    по карантину WINDOWS\system32\fvhoq.exe - Backdoor.Win32.Arin.a, beqndi.exe - Backdoor.Win32.Arin.a.

    Отключите восстановление системы, антивирус и выполните предложенный скрипт PavelA ещё раз. После выполнения повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    35
    Прошу прощения за предоставленные неудобства. Буду исправляться…
    1) Восстановление системы отключил, выполнил предложенный скрипт PavelA ещё раз, после выполнения повторил логии, карантин, думаю, тоже загрузился
    2) rnpw.exe при помощи АВЗ --сервис--поиск файлов не найден, но в менеджере дисков я его вижу (могу ли я его заархивировать без AVZ и отослать по ссылке карантина?)
    3) WINDOWS\system32\fvhoq.exe, beqndi.exeбыли связаны между собой?
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Дмитрий\beqndi.exe \s
    O4 - HKLM\..\Run: [fvhoq] C:\WINDOWS\system32\fvhoq.exe \u

    Перезагрузиться и сделать снова лог Хиджака.

    Добавлено через 30 минут

    Выполни и посмотри попадет ли этот файл в карантин.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\documents and settings\Дмитрий\rnpw.exe','');
     DeleteFile('c:\documents and settings\Дмитрий\rnpw.exe ');
     BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 30.07.2008 в 13:19. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    35
    Профиксил (или профиксовал), выполнил скрипт. rnpw.exe из папки пользователя с правами Администратора удалён, попал в карантин (отправил). Сделал снова логи (отправил).
    Но вопросы остались, пожалуйста растолкуйте, как можно более доступно:
    1) WINDOWS\system32\fvhoq.exe - Backdoor.Win32.Arin.a, beqndi.exe - Backdoor.Win32.Arin.a., rnpw.exeBootCleaner quarantine. Что это? чем занимались? были ли связаны между собой (у всех дата и время создания одинаковые – 25.07.08, ~14.48 )? можно ли проследить от кого (есть подозрение, а так же остались логи из Outpost Firewall) и т.п.?
    2) В протоколах AVZ отображаются данные: поиска потенциальных уязвимостей, поиска и устранения проблем и т.д. Как с ними работать? И, вообще, как правильно читать (анализировать) протокол?
    3) Возможно ли на virusinfo (через карантин AVZили ещё как-то) проверить подозрительный файл .exe, .rar, .zip?
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от ДимДимыч Посмотреть сообщение
    Профиксил (или профиксовал), выполнил скрипт. rnpw.exe из папки пользователя с правами Администратора удалён, попал в карантин (отправил). Сделал снова логи (отправил).
    Но вопросы остались, пожалуйста растолкуйте, как можно более доступно:
    1) WINDOWS\system32\fvhoq.exe - Backdoor.Win32.Arin.a, beqndi.exe - Backdoor.Win32.Arin.a., rnpw.exeBootCleaner quarantine. Что это? чем занимались? были ли связаны между собой (у всех дата и время создания одинаковые – 25.07.08, ~14.48 )? можно ли проследить от кого (есть подозрение, а так же остались логи из Outpost Firewall) и т.п.?
    2) В протоколах AVZ отображаются данные: поиска потенциальных уязвимостей, поиска и устранения проблем и т.д. Как с ними работать? И, вообще, как правильно читать (анализировать) протокол?
    3) Возможно ли на virusinfo (через карантин AVZили ещё как-то) проверить подозрительный файл .exe, .rar, .zip?
    Ты так много тегов вставляешь, что отвечать очень тяжело.
    Попробую, кое что растолковать.
    1. Описания малваре читать на viruslist.com. если не найдешь там, то надо будет искать на сайте симантека.
    2. внизу есть кнопочки для исправления проблем. Нажимаем на них - получаем скрипт. Если что-то отключил лишнее, надо будет делать откат.
    Есть еще "Мастер исправления проблем".
    3. Читать логи - учим у нас на форуме. Сейчас группа в 60 человек ожидает обучения. При желании записывайся, жди очереди.
    4. Провериться можно на virustotal.com или на подобных ресурсах. Ссылки на них есть на форуме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\дмитрий\\rnpw.exe - Backdoor.Win32.Arin.a (DrWEB: BackDoor.BlackHole.2403)


  • Уважаемый(ая) ДимДимыч, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 04.02.2012, 13:26
    2. Проблема с правами администратора
      От Domchev в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 14.08.2010, 17:08
    3. Ответов: 3
      Последнее сообщение: 12.03.2009, 19:48
    4. Проблемма с правами администратора.
      От sergey888 в разделе Microsoft Windows
      Ответов: 14
      Последнее сообщение: 12.04.2008, 17:30
    5. Ответов: 15
      Последнее сообщение: 20.12.2007, 12:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00132 seconds with 17 queries