Показано с 1 по 8 из 8.

Схватил services.exe с китайского сайта (заявка № 40733)

  1. #1
    Junior Member Репутация
    Регистрация
    30.12.2008
    Сообщений
    14
    Вес репутации
    56

    Thumbs up Схватил services.exe с китайского сайта

    Искал в интернете конкурсы на 8 марта, в один прекрасный момент получил редирект на домен .cn, после чего началось веселье.
    Аутпост заорал, что services.exe хочет загрузить какой-то драйвет и отправить почту на несколько адресов.

    На диске появились:
    C:\WINDOWS\services.exe 22529 байт
    C:\WINDOWS\_id.dat (сейчас, после запуска скриптов AVZ, нулевого размера)
    C:\WINDOWS\adobe.bat с содержанием
    --- ---
    Код:
    :u1w5z
    net stop beep
    START /WAIT C:\WINDOWS\services.exe /do_work
    ECHO %ERRORLEVEL%
    IF %ERRORLEVEL% NEQ 3 GOTO u1w5z
    EXIT
    --- ---

    Ссылки на C:\WINDOWS\services.exe появились в автозагрузочных ключах реестра (практически во всех возможных, их я отключил программой autoruns еще до лечения, т.к. сильно мешались - постоянно срабатывала защита Аутпоста).

    Вроде бы все прозрачно, и достаточно удалить C:\WINDOWS\services.exe + почистить реестр, но может я что-то еще упустил?

    Архивы с логами прилагаю.

    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteService('RkHit');
     QuarantineFile('C:\WINDOWS\system32\drivers\RKHit.sys','');
     QuarantineFile('C:\Temp\sfamcc00001.dll','');
     DeleteFile('C:\Temp\sfamcc00001.dll');
     DeleteFile('C:\Temp\sfareca00001.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\RKHit.sys');
     DeleteFile('C:\WINDOWS\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    30.12.2008
    Сообщений
    14
    Вес репутации
    56
    Карантин загрузил.

    Логи прилагаю.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    отключите восстановление системы....
    virusinfo_syscure.zip переделайте в нормальном режиме как и положено ...

  6. #5
    Junior Member Репутация
    Регистрация
    30.12.2008
    Сообщений
    14
    Вес репутации
    56
    Отключил, переделал.

    PS: восстановление системы отключал раньше, наверное его включает обратно какой-то апдейт windows.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Ничего плохого...

  8. #7
    Junior Member Репутация
    Регистрация
    30.12.2008
    Сообщений
    14
    Вес репутации
    56
    Спасибо!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\services.exe - Backdoor.Win32.Zdoogu.t


  • Уважаемый(ая) player1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. MONOCA32, services - заражение сайта через фтп
      От elittransfer922 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.08.2010, 20:14
    2. Ответов: 1
      Последнее сообщение: 11.07.2007, 13:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01538 seconds with 18 queries