Показано с 1 по 18 из 18.

Вирус на рабочей машине [Backdoor.Win32.Zdoogu.j, Backdoor.Win32.Agent.abhn ] (заявка № 37455)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56

    Thumbs up Вирус на рабочей машине [Backdoor.Win32.Zdoogu.j, Backdoor.Win32.Agent.abhn ]

    Рабочая машина работает с защифроваными сообщениями входит в корпаративную сеть. На машине установлен клиент Symantec. 2 дня назад в трее появилось системное сообщение об опасности после чего появился Антивирус 2009 следом симантек выдал сообщение вирус. Процес антивируса 2009 был оставлен. При перезагрузке был отключем из автозагрузки. Симантек выдает предупреждение об обноружении Hacktool.Rootkit и Trojan Horse после лечения и перезагрузки обнаруживает снова. Машина перегружалась в безопасный режим и проверялась Symantec и Dr.Web CureIt так же в безопасном режиме проверялась AVZ. Наследующий день опять появился Антивирус 2009 который был изолирован. После проверки машины зараженных фаилов найдено небыло. На данном этапе после каждой перезагрузке Symantec выдает также об обнаружении Hacktool.Rootkit и Trojan Horse в процесах диспечера задач от пользователя запущено очень большое количество процессов и присутствует процесс меняющий постоянно свой pid- Demyanov.exe. Установлена операционная система Windows XP SP2. Помогите нейтрализовать вирусы для дальнейшего безопасного переноса документации и программ на другую машину.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
     QuarantineFile('C:\Documents and Settings\Demyanov\Demyanov.exe','');
     DeleteService('Winac50');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winac50.sys','');
     DeleteService('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteService('Hmb52');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Hmb52.sys','');
     QuarantineFile('acpi32.sys','');
     DeleteService('wuauservdmadmin');
     DeleteService('WebClientVSSsrservice');
     DeleteService('VSSsrserviceUMWdf');
     DeleteService('VSSsrservice');
     DeleteService('SharedAccessDefWatch');
     DeleteService('SharedAccessaspnet_state');
     DeleteService('RpcSsusprserv');
     DeleteService('RpcLocatorRasMan');
     DeleteService('RasManSCardSvr');
     DeleteService('PlugPlayNtmsSvc');
     DeleteService('NtmsSvcSCardSvr');
     DeleteService('NtmsSvcImapiService');
     DeleteService('NetlogonBITSSSDPSRV');
     QuarantineFile('C:\WINDOWS\system32\adsnwo.exe','');
     DeleteService('NetDDEstisvc');
     DeleteService('NetDDEdsdmDnscache');
     DeleteService('MSDTCRasAutoAudioSrv');
     DeleteService('MSDTCRasAuto');
     DeleteService('mnmsrvcCryptSvcWebClient');
     DeleteService('mnmsrvcCryptSvcERSvc');
     DeleteService('mnmsrvcCryptSvc');
     DeleteService('HidServ Licensing Service');
     DeleteService('helpsvcSharedAccess');
     DeleteService('ETOKSRVlanmanserver');
     DeleteService('ERSvcImapiService');
     DeleteService('CiSvcRpcLocator');
     DeleteService('AppleNetDDEdsdmDnscacheShellHWDetection');
     DeleteService('AppleNetDDEdsdmDnscache');
     DeleteService('AppleEventSystem');
     QuarantineFile('srv.exe','');
     QuarantineFile('c:\windows\services.exe','');
     TerminateProcessByName('c:\windows\services.exe');
     DeleteFile('c:\windows\services.exe');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Hmb52.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winac50.sys');
     DeleteFile('C:\Documents and Settings\Demyanov\Demyanov.exe');
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('C:\file.bat ');
     DeleteFile('crypts.dll');
     DeleteFile('msansspc.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    Карантин выслал. Выложил логи.

  5. #4
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    логи
    Вложения Вложения

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('digeste.dll');
     DeleteFile('C:\System Volume Information\_restore{0CFBA80E-7F33-48C8-940B-B6694088CDC2}\RP87\A0035468.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Этот файл adsnwo.exe пришлите согласно приложению 2 правил, повторите пункт 2 диагностики...

  7. #6
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    Выслать файл adsnwo.exe не получаеться выдает следующие:
    Ошибка карантина файла, попытка прямого чтения (adsnwo.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\adsnwo.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\adsnwo.exe)
    Карантин с использованием прямого чтения - ошибка
    Вложения Вложения

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    А ручками его в указанных директориях можете найти?

  9. #8
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    Ручками могу посмотреть - как его вам переслать если он там есть? Тока это будет завтра.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Запаковать в архив с паролем "virus" и прислать по красной ссылке вверху темы...

  11. #10
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    Файл найти не получилось ((.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('NetlogonBITS');
     DeleteFile('C:\WINDOWS\system32\adsnwo.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('NetlogonBITS');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  13. #12
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    Скрипт выпонил.
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\svschost.exe','');
     DeleteFile('C:\WINDOWS\system32\svschost.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  15. #14
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    Выполнил.
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто, установите SP3+all updates...

  18. #17
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    13
    Вес репутации
    56
    Спасибо огромное за помощь

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 73
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\demyanov\\demyanov.exe - Trojan-Downloader.Win32.Small.aioy (DrWEB: Trojan.DownLoad.2359
      2. c:\\system volume information\\_restore{0cfba80e-7f33-48c8-940b-b6694088cdc2}\\rp87\\a0035468.dll - Trojan.Win32.Pakes.mmo (DrWEB: Trojan.Botnetlog.3)
      3. c:\\windows\\services.exe - Backdoor.Win32.Agent.abhn (DrWEB: Trojan.Spambot.3584)
      4. c:\\windows\\system32\\digeste.dll - Trojan.Win32.Pakes.mmo (DrWEB: Trojan.Botnetlog.3)


  • Уважаемый(ая) ddv79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. На виртуальной машине Троян
      От Galaiey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.05.2012, 23:02
    2. Вирусы на машине.
      От Михаил_83 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 11.12.2010, 17:11
    3. Ответов: 0
      Последнее сообщение: 14.07.2010, 13:34
    4. Множественные вирусы на машине
      От Niven в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.11.2009, 21:49
    5. Вирус на машине, livecd не находит ничего
      От paul.mad в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 27.04.2009, 20:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00623 seconds with 20 queries