-
Junior Member
- Вес репутации
- 54
Неизвестная служба, не отключается
Доброй всем ночи!
В сеть пролез червяк, shadow.based по классификации DrWeb, после генеральной уборки на одной из машин обнаружил службу с названием jkgih, описание у нее такое же как и у secondary logon, т.е. позволяет запускать процессы от имени другого пользователя, при попытке остановить ее выдает отказ в доступе. syscheck сделан без доступа в интернет, т.к. сервер с АД остановлен.
Последний раз редактировалось AndreyET; 11.12.2009 в 10:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\ZoEFiE.exe','');
DeleteFile('c:\ZoEFiE.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Msn');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnHost');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnLoad');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnMessendger');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnConvert');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnLoad');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnHost');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Msn');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MsnMessendger');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи + лог GMER
-
-
Junior Member
- Вес репутации
- 54
Вот все логи, не думал что gmer настолько затянется
перепутал логи счас добавлю
Последний раз редактировалось AndreyET; 11.12.2009 в 10:16.
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось AndreyET; 11.12.2009 в 10:16.
-
Некоторые сообщения были вынесены в отдельную тему http://virusinfo.info/showthread.php?t=58679
-
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 6e3p47e1.exe (gmer)
Код:
6e3p47e1.exe -del service alcvndpe
6e3p47e1.exe -del service iplvxou
6e3p47e1.exe -del file "C:\WINDOWS\system32\pxuxgbxg.dll"
6e3p47e1.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\alcvndpe"
6e3p47e1.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iplvxou"
6e3p47e1.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\alcvndpe"
6e3p47e1.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\iplvxou"
6e3p47e1.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Прошу прощения за задержку, машина была занята работой.
вот новый лог gmer.
Последний раз редактировалось AndreyET; 11.12.2009 в 10:17.
-
В логах ничего подозрительного. Жалобы есть?
-
-
Junior Member
- Вес репутации
- 54
Да вроде четверг-пятницу-субботу отработал без проблем, тормозов и перезагрузки небыло, спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-