backdoor qsaf.exe

[d2boy]

Создаёт в папке system32/drivers файл qsaf.exe (после повторного лечения - zgmh.exe), которые cure it не детектируются, кучу файлов замаскированных под скринсейверы - определяются cure it как вирус типа letmein.

В автозагрузку прописывает созданный файл в виде windows драйвера.

После лечения проходит некоторое время - в память загружается процесс (81.scr, 31,scr), который пытается создать исполняемый файл в папке drivers (см. выше) и создаёт в папке system32 log файл, который периодически читает (по данным filemon) ничего в него не записывая.
Также создаёт в корне диска с исполняемый файл со случайным названием.

[Alex Plutoff]

- у нас, что, правила поменялись?..
- или этот топик носит исключительно информационный характер?.. ну, тогда ему место не в этом разделе.

[d2boy]

- у нас, что, правила поменялись?..

Извиняюсь, не те файлы приложил, делал ночью
Слишком путано описано.

[Rene-gad]

делал ночью

Ночью спать надо.

Слишком путано описано.

Какой именно пункт правил вас запутал?

[d2boy]

Поправил пост.

Какой именно пункт правил вас запутал?

1 и 2, лучше б картинками всё было сделано, ИМХО.

[pig]

virusinfo_syscure.zip прикрепите.

[d2boy]

virusinfo_syscure.zip прикрепите.

Прикрепил

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\02.scr');
 QuarantineFile('c:\windows\system32\02.scr','');
 DeleteFile('c:\windows\system32\02.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи (в нормальном режиме)

[d2boy]

Всё прикрепил

[Rene-gad]

Сделайте новые логи (в нормальном режиме)

???

[d2boy]

Прикрепляю

[thyrex]

Пофиксить в HiJack

Код:

 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Jwrb.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Jwrb.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Jwrb.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\Jwrb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[d2boy]

Проблема с разрывом соединения сохранилась

Пытается создать winlogon.exe, Isass.exe лезет на какие-то сервера
Источник - файлы scr

[Rene-gad]

Проблема с разрывом соединения сохранилась

Пытается создать winlogon.exe, Isass.exe лезет на какие-то сервера
Источник - файлы scr

файл Isass.exe в логах не виден.
Проверьтесь на файловые вирусы, потом сделайте лог GMER

[d2boy]

Переставил систему

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены