-
Junior Member
- Вес репутации
- 50
Win32/statik
Достался компутер. с ним явно что-то не то. проверял многими антивирусами, и периодически они что-то находят.
При подключении к инету начинает маячить нод, мол нашел, изолировал и т.д., и, как правило, это win32/statik, но кроме него периодически появляются другие (вылетело из головы, какие).
Возникают дополнительные папки по адресу C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
и C:\WINDOWS\system32 с файлами типа Е001.ехе, Р001.ехе и А16. (кстати, во время выполнения этапа №2 при подключении к инету, запуске скрипта папки и файлы появлялись опять).
Сразу улетает траффик, выскакивает ошибка периодически (win32 generic бла бла бла). Пробовал отключаться от локалки и подключаться к инету просто через модем - то же самое.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hglasvstart.dll','');
QuarantineFile('C:\WINDOWS\system32\twnph.biz','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2821856266-1678142532-748270048-9453\nissan.exe','');
QuarantineFile('c:\program files\common files\system\sqldebug.exe','');
QuarantineFile('C:\Program Files\Common Files\System\sqlserv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\df.sys','');
QuarantineFile('c:\windows\system32\twnph.biz','');
QuarantineFile('c:\windows\system32\idsasvstart.dll','');
DeleteFile('c:\windows\system32\idsasvstart.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-2821856266-1678142532-748270048-9453\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\hglasvstart.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- распакуйте файлы из вложения, внесите информацию в реестр, запустив их.
- сделайте лог Combofix
Последний раз редактировалось polword; 26.08.2010 в 23:05.
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
проблема вернулась спустя пол-часа. все то же самое
-
Junior Member
- Вес репутации
- 50
пожалуй, вот вам архив, в нем те самые файлы, появляющиеся и заражающиеся (2 из них). может это что вам даст.
Последний раз редактировалось pig; 19.08.2010 в 18:02.
Причина: зловреды в теме неуместны
-
-
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\t\E001.exe
c:\windows\system32\hglasclib.dll
c:\windows\system32\ldsasclib.dll
c:\windows\system32\twnph.biz
C:\Program Files\Common Files\System\sqlserv.ex
Driver::
vsd
SqlDebuger
NetSvc::
Folder::
c:\windows\system32\t
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HgpSrv"=-
"IdsSrv"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Последний раз редактировалось polword; 20.08.2010 в 08:32.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\system\\sqldebug.exe - Trojan-Downloader.MSIL.Small.de ( BitDefender: Trojan.Generic.6130038, AVAST4: Win32:Malware-gen )
- c:\\program files\\common files\\system\\sqlserv.exe - Trojan-Downloader.MSIL.Small.de ( BitDefender: Trojan.Generic.5342714, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\hglasvstart.dll - Net-Worm.Win32.Kolab.jus ( DrWEB: Trojan.MulDrop1.40733, BitDefender: DeepScan:Generic.Malware.WX!.3A35342D, AVAST4: Win32:Alureon-NP [Trj] )
- c:\\windows\\system32\\idsasvstart.dll - Net-Worm.Win32.Kolab.kiv ( DrWEB: Trojan.Siggen2.522, BitDefender: DeepScan:Generic.Malware.WX!.428550C7, NOD32: Win32/TrojanDownloader.Agent.QEK trojan, AVAST4: Win32:Alureon-NP [Trj] )
- c:\\windows\\system32\\twnph.biz - Trojan-PSW.Win32.Bjlog.kig ( DrWEB: Trojan.PWS.Siggen.7655, BitDefender: Trojan.Zegost.A, NOD32: Win32/Redosdru.HH trojan, AVAST4: Win32:Zegost-D [Drp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-