-
Junior Member
- Вес репутации
- 51
Вирус папка.exe во флешке создан процессом :services ?
Доброго времени специалистам проекта ВирусИнфо.
Так Вот. После путешествия флешки по двум компам на третьем было обнаружено, что во флешке были заменены папки находящиеся в корневом каталоге файлами типа "название_папки.exe". Комп №1 мне не доступен. В компе №2(этот комп) позже был обнаружен процесс :service.exe и snmp.exe в диспетчере задач. Проверка ежеденевно обновляемым Nod 4 компа №2 не показала вирусов, Но комп №3 обнаружил точно таким же Nod 4 что :service.exe вирус типа WIN32\RemoteAdmin.RAdmin.20 и думаю что полностью удалил.
При выполнении пунктов "Правил" на компе №2 AVPTool так же определил его как вирус Radmin (здесь полностью не запомнил так как не подумав удалил антивирус когда он предложил). После выполнения правил остался процесс snmp.exe. Тестирование компа №2 флешкой не показало замены папок на exe. В интернете нашел описание вируса/трояна Пинча с схожими последствиями и в срочном порядке сменил все пароли на логинах в инете.
Логи проверки прилагаю.
Последний раз редактировалось Halcyon; 13.12.2010 в 19:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 51
НЕ знаю даже стоит дополнить. 1) заражение произошло либо из локальной сети либо с компа №1. Если из локальной сети(ЛС) - это не означает ли что злоумышленник находится в в ЛС? в таком случае я бы мог найти его и "наказать". вот только как определить кто он, если он до сих пор действует в сети?
2)Может быть вариантом что первым был заражен комп №3, так как флешка постоянно используется на нем и за пару дней до обнаружения вируса комп №3 был грубо лишен некоторых папок типа Install в папке windows, папок программ в Application Date папок <пользователь> и All, после чего понял что "Установкой и удалением программ" некоторые программы удалить не получится, удалил их YourUninstal'ом. Так же подвергался освобождению места и чистке реестра различными программами типа CCleaner. В последующие дни на нем при запуске программы типа PeerToPeer (ApexDC) (он только по локальной сети) сильно тормозил компьютер и перезагружал через диспетчер задач, после очистки железа от тополиного пуха - это явление исчезло. Советов по правилам пользования компьютера прошу не давать, так как данный(проверяемый) компьютер используется аккуратно, ввиду того что регулярный его пользователь знает и использует только штатные средства управления операционной системы.
-
Сообщение от
Halcyon
что во флешке были заменены папки находящиеся в корневом каталоге файлами типа "название_папки.exe"
Папки получили атрибут "скрытый" и остались на флешке. Все файлы, получившие имена папок, имеют одинаковый размер и иконку в виде папки.
Увидеть все это можно в файловом менеджере типа Total Commander, Far
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\1025v.exe','');
DeleteService('W32TimeSwPrv');
DeleteFile('C:\WINDOWS\system32\1025v.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Выслал запрошенный карантин. (Но при просмотре карантина имелись три файла от 2010-06-18, т е вчера добавлены (от игры, htm, PE файл с нестандарнным расширением) не добавил в архив)
A Это по архиву:
Файл сохранён как 100618_232356_virus_4c1bc7cce2354.zip
Размер файла 590
MD5 3075933a8a6e072484a8f791e3d06083
Добавлено через 4 часа 0 минут
При запуске автоматической экспрес-проверки в окне было выделено красным:
Service C:\windiws\system32\svchost.exe (***hidden***) [AUTO]xmqzibbn
и появилось сообщение от GMER: Warning. GMER has found system modification, which might have been caused by ROOTKIT activity.
я согласился сканировать систему.
Пункт SCAN ЕЩЕ ВЫПОЛНЯЮ
Последний раз редактировалось Halcyon; 19.06.2010 в 04:04.
Причина: Добавлено
Мало ли что антивирус сказал.
-
Junior Member
- Вес репутации
- 51
Высылаю логи
Последовательность выполнения после высылки карантина:
Восстановление системы еще было отключено.
Выполнил шестой пункт раздела "После загрузки инструментов"
1. Первый пункт из диагностики AVZ
В конце выполнения скрипта вышло сообшение Windows:
Система завершает работу. ... Отключение системы вызвано NT AUTHORITY\SYSTEM
... Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741819. "Будет перезагрузка"
После перезагрузки выполнил снова первый пункт диагностики AVZ. завершился удачно. Перезагрузился.
2. Выполнил второй пункт диагностики AVZ. без происшествий.
3. Выполнил третий пункт диагностики AVZ
4. Выполнял пункты необходимые для создания логов из темы о GMER:
Вот тут и было то что написал в предыдущем посте:
При запуске автоматической экспрес-проверки в окне было выделено красным:
Service C:\windiws\system32\svchost.exe (***hidden***) [AUTO]xmqzibbn
и появилось сообщение от GMER: Warning. GMER has found system modification, which might have been caused by ROOTKIT activity.
я согласился сканировать систему.
По завершении сканирования Gmer выдал сообщение о активных рукитах в системе. нажал ок. Сохранил лог gmer_2010_06_19_06_01.log. Запустил Пункт Scan в соответствии с инструкцией темы о GMER. В конце он снова предупредил о рукитах. согласился. сохранил лог gmer_2010_06_19_15_14.log который и высылаю.
Последний раз редактировалось Halcyon; 13.12.2010 в 19:06.
Мало ли что антивирус сказал.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 30sl64hg.exe (gmer)
Код:
30sl64hg.exe -del service xmqzibbn
30sl64hg.exe -del file "C:\WINDOWS\system32\hskwnnl.dll"
30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\xmqzibbn"
30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xmqzibbn"
30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xmqzibbn"
30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\xmqzibbn"
30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\xmqzibbn"
30sl64hg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xmqzibbn"
30sl64hg.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\xmqzibbn"
30sl64hg.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Простите что долго не отвечал. Не заметил требование о высылке лога.
Высылаю лог GMER после выполнения пункта с cleanup.bat.
Мало ли что антивирус сказал.
-
Лог чист. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Проблемы нет. Но стоит ли отключить службу "сервер SNMP", что в диспетчере задач стоит процессом snmp.exe? до заражения его не было. по сути вроде не нужен, и от зависимых служб нету.
Мало ли что антивирус сказал.
-
Вам лучше знать, нужно это: http://ru.wikipedia.org/wiki/SNMP или нет.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-