-
Junior Member
- Вес репутации
- 54
Маскировка процесса с PID=1972, имя = "dllcache.exe"
Прогнал несколько раз авз4...он вылечил основную массу вирусов, но остались две красные записи:
>>>> Обнаружена маскировка процесса 1972 c:\windows\system\dllcache.exe
Маскировка процесса с PID=1972, имя = "dllcache.exe", полное имя = "\Device\HarddiskVolume2\WINDOWS\system\dllcache.e xe"
Стоит ли об этом беспокоится?!
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\Мага\ms18_word.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\ms18_word.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('c:\windows\system\msdct.exe','');
QuarantineFile('c:\windows\system32\ms18_word.exe','');
QuarantineFile('c:\windows\system\dllcache.exe','');
DeleteFile('c:\windows\system\dllcache.exe');
DeleteFile('c:\windows\system32\ms18_word.exe');
DeleteFile('c:\windows\system\msdct.exe');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
DeleteFile('C:\Documents and Settings\LocalService\ms18_word.exe');
DeleteFile('C:\Documents and Settings\Мага\ms18_word.exe');
DeleteFile('C:\WINDOWS\system32\ms18_word.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 54
Прогнал скрипт, карантин и логи прилагаю.
Появилось:
>>>> Возможно маскировка имени исполняемого файла 1848 btstac~1.exe, реальное имя - BTStackServer.exe
Видимый процесс с PID=1848, имя = "\Device\HarddiskVolume2\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe"
>> обнаружена подмена имени, новое имя = "c:\progra~1\widcomm\blueto~1\btstac~1.exe"
Что-то с драйвером Блутуфа?
З.Ы. Не загружается во вложения файл с карантином.
Разобрался как и куда отправить карантин!
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
-
Junior Member
- Вес репутации
- 54
Поработал немного. Установил НОД32. Он начал находить какието вирусы. Сделал повторный прогон авз: выяснилось, что все вернулось на круги своя. Запустил скрипт на сбор информации в Безопасном режиме. Лог прилагаю.
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
-
На время выполнения скрипта антивирус отключить.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\ms18_word.exe','');
QuarantineFile('C:\Documents and Settings\Мага\ms18_word.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\ms18_word.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
SetServiceStart('WM System Decode Application', 4);
DeleteService('WM System Decode Application');
TerminateProcessByName('c:\windows\system\msdct.exe');
QuarantineFile('c:\windows\system\msdct.exe','');
DeleteFile('c:\windows\system\msdct.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\Documents and Settings\LocalService\ms18_word.exe');
DeleteFile('C:\Documents and Settings\Мага\ms18_word.exe');
DeleteFile('C:\WINDOWS\system32\ms18_word.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнил. Карантин отправил. Логи прилагаю.
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
-
Junior Member
- Вес репутации
- 54
Перезагрузился пару раз. Посмотрел Хайджэк, ms18 вроде больше не появился...
Еще раз прогоняю АВЗ. Стоит ли беспокоится о:
>>>> Возможно маскировка имени исполняемого файла 1848 btstac~1.exe, реальное имя - BTStackServer.exe
Видимый процесс с PID=1848, имя = "\Device\HarddiskVolume2\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe"
>> обнаружена подмена имени, новое имя = "c:\progra~1\widcomm\blueto~1\btstac~1.exe"
Откуда это вирус берется?
-
Сообщение от
Seuge
Откуда это вирус берется?
это не вирус, а драйвер от Bluetooth.
-
-
Junior Member
- Вес репутации
- 54
Ноут пришлось сегодня вернуть хозяину, но при проверке на его территории, без подключения интернета, АВЗ снова отловил маскировку процесса от dllcache.exe...правда ms18 в процессах Хайджек не выявил. Так же стали выскакивать ошибки в стиле некорректная работа приложения, не запомнил к сожалению какого, с последующим завершением его и предложением отправить отчет Майкрософт. Требуются ли дополнительные логи или возможно найти решение по уже имеющейся информации?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
снова взял ноут...вот свежие логи....
проблемы такие...перебои в работе интернета....ошибки
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
-
Базы АВЗ обновите.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\msmacro64.exe');
TerminateProcessByName('c:\windows\system\msdct.exe');
StopService('sysdrv32');
StopService('securentm');
StopService('WM System Decode Application');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('c:\windows\system\msdct.exe','');
DeleteFile('c:\windows\system\msdct.exe');
DeleteFile('C:\WINDOWS\msmacro64.exe');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
DeleteService('sysdrv32');
DeleteService('WM System Decode Application');
DeleteService('securentm');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_DeleteSvc('WM System Decode Application');
BC_DeleteSvc('securentm');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 54
обновленные логи....карантин отправлен
Последний раз редактировалось Seuge; 05.03.2010 в 16:01.
-
В логах ничего подозрительного. Жалобы есть?
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
-
-
Junior Member
- Вес репутации
- 54
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\61TY3B5W\womsp[1].exe
Прямое чтение C:\Documents and Settings\Мага\Local Settings\Temporary Internet Files\Content.IE5\UBY6MA29\vbulletin_quick_edit[1].js
Прямое чтение C:\WINDOWS\system32\01.scr
Прямое чтение C:\WINDOWS\system32\07.scr
Прямое чтение C:\WINDOWS\system32\13.scr
Прямое чтение C:\WINDOWS\system32\35.scr
Прямое чтение C:\WINDOWS\system32\36.scr
Прямое чтение C:\WINDOWS\system32\61.scr
Прямое чтение C:\WINDOWS\system32\75.scr
Прямое чтение C:\WINDOWS\system32\76.scr
Прямое чтение C:\WINDOWS\system32\77.scr
Прямое чтение C:\WINDOWS\system32\85.scr
Прямое чтение C:\WINDOWS\system32\86.scr
нашел АВЗ, а нод удалил как троян Win32\IRCBot.AMC
за это надо беспокоится? или это остаточное?
-
Сообщение от
Seuge
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\61TY3B5W\womsp[1].exe
Прямое чтение C:\Documents and Settings\Мага\Local Settings\Temporary Internet Files\Content.IE5\UBY6MA29\vbulletin_quick_edit[1].js
Очистку кэша делали?
Прямое чтение C:\WINDOWS\system32\01.scr
Удалите файлы вручную или скриптом:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask('c:\windows\system32','??.scr',false);
RebootWindows(true);
end.
нод удалил как троян Win32\IRCBot.AMC
Кого он удалил?
-
-
Junior Member
- Вес репутации
- 54
очистку делал, но через очистку системы...видимо глупо поступил...удалил вручную....щас еще прогоню
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice\localservice.exe - Trojan-Downloader.Win32.Agent.cgox ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2135735 )
- c:\documents and settings\localservice\ms18_word.exe - Backdoor.Win32.HareBot.gb ( DrWEB: Trojan.DownLoad.40429, BitDefender: Trojan.Downloader.Kobcka.K )
- c:\windows\msmacro64.exe - Trojan.Win32.Agent.cqen ( DrWEB: BackDoor.IRC.Sdbot.4632 )
- c:\windows\system\dllcache.exe - Trojan.Win32.Buzus.bpcc ( DrWEB: BackDoor.IRC.Sdbot.4632 )
- c:\windows\system\msdct.exe - Backdoor.Win32.Nepoe.jf ( DrWEB: BackDoor.IRC.Sdbot.4910, BitDefender: Trojan.Generic.2197859 )
- c:\windows\system32\drivers\amd64si.sys - Rootkit.Win32.Agent.maf ( DrWEB: Trojan.DownLoad.38180, BitDefender: Rootkit.Agent.AJAO )
- c:\windows\system32\drivers\netsik.sys - Rootkit.Win32.Agent.maf ( DrWEB: Trojan.DownLoad.38180, BitDefender: Rootkit.Agent.AJAO )
- c:\windows\system32\drivers\sysdrv32.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Trojan.Agent.ALRI )
- c:\windows\system32\ms18_word.exe - Backdoor.Win32.HareBot.gb ( DrWEB: Trojan.DownLoad.40429, BitDefender: Trojan.Downloader.Kobcka.K )
-