-
Junior Member
- Вес репутации
- 50
Борьба с MCSSC
Добрый день. Несколько дней систему и меня мучает вирус-троян. В процессах Диспетчера задач присутствуют несколько копий процесса MCSSC. Детектится НОДом, но не убивается. Попытки вылечить КуреИтом не возымели успеха как в обычной, так и в сейфмоде. Имеют место часто переименовывающие себя процессы с именами из набора английских букв. Необходима поддержка тяжелой артиллерии, т.к. штатные средства борьбы закончились. Пожалуйста помогите с излечением. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\82.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7261471765-2988619325-980645526-2802\mcssc.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\qoqmgnm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\hnklede.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\gsqtwle.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\iwtncqo.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\iwtncqo.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\gsqtwle.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\hnklede.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\qoqmgnm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7261471765-2988619325-980645526-2802\mcssc.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89969).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Все сделал как просили. Дошел ли лог с вирусами? он не пристегивался как надо... Спасибо
-
Сообщение от
Bratez
Выполните
-
-
Junior Member
- Вес репутации
- 50
Хммм ... не пролезает 2-х метровый лог с вирусами... Отправлен - трижды....
Добавлено через 3 минуты
Результат загрузки
Файл сохранён как 101015_154718_virus_4cb83f4610eaa.zip
Размер файла 2115134
MD5 918dc349da8ca584e71fdf9004bef01d
Файл закачан, спасибо!
Последний раз редактировалось Andy711; 15.10.2010 в 15:47.
Причина: Добавлено
-
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
TerminateProcessByName('c:\documents and settings\Администратор\application data\oasgvjf.exe');
TerminateProcessByName('c:\recycler\s-1-5-21-7135590267-8372133385-717278651-1491\mcssc.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oasgvjf.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\oasgvjf.exe','');
QuarantineFile('c:\recycler\s-1-5-21-7135590267-8372133385-717278651-1491\mcssc.exe','');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\65.exe','');
QuarantineFile('C:\WINDOWS\system32\82.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('c:\recycler\s-1-5-21-7135590267-8372133385-717278651-1491\mcssc.exe');
DeleteFile('c:\documents and settings\Администратор\application data\oasgvjf.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oasgvjf.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин еще раз по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
Сообщение от
Andy711
Результат загрузки
Файл сохранён как 101015_154718_virus_4cb83f4610eaa.zip
Размер файла 2115134
MD5 918dc349da8ca584e71fdf9004bef01d
Файл закачан, спасибо!
Получено
-
-
Junior Member
- Вес репутации
- 50
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Переименование файла не помогает
Добавлено через 2 минуты
Скрипты отправлены на исполнение.
Последний раз редактировалось Andy711; 15.10.2010 в 16:29.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 50
Лог вирусов, по прежнему, переслать не представляется возможным
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось Rene-gad; 15.10.2010 в 17:58.
Причина: удалён карантин
-
Junior Member
- Вес репутации
- 50
Пожалуйста скорректируйте последние действия. Уже охрана выгоняет
-
В логах чисто. Что с проблемой?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Комп работает "с натягом" похоже что что то его немного тормозит... В процессах подозрительного не найдено....
-
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Найдено 4 инфицированных объекта...
-
Junior Member
- Вес репутации
- 50
Уважаемые хелперы. У меня остался ряд вопросов и тормоза на компе
1. Что делать с зараженными файлами?
2. Нужно ли включить обратно восстановление системы?. Я не дождался комментария - думаю что лучше включить (включил).
3. Нужно ли снести МВАМ? (пока оставил)
4. В приложениях находятся устаревшие сведения относительно размеров антивирусных программ. Сегодня выкачивал: Каспер - 78 метров ДрВеб - 48,3. Если будет время - пожалуйста исправьте.
5. Ну и в заключении вот: # Помочь вы нам можете, если перейдёте по данной ссылке и выполните. Спасибо! # А результат - таков: #Тема не существует или не указан идентификатор (номер). Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией#
Последний раз редактировалось Andy711; 15.10.2010 в 20:24.
Причина: умная мысля приходит опосля...
-
Junior Member
- Вес репутации
- 50
КАасперский после перезапуска компа дал такой лог... По всей вероятности из карантина не удалились локализованные вирусы.
Надеюсь это не сведет всю проделанную нами сегодня работу на "нет"... ??
Лог - прилагаю...
-
Junior Member
- Вес репутации
- 50
up. Пожалуйста посмотрите логи. Спасибо.
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Выполнено. Что делать с карантином?
Если не сложно, ответте на вопросы 3 поста выше. Спасибо.
Добавлено через 39 секунд
ps тормоза сохранились...
Последний раз редактировалось Andy711; 16.10.2010 в 09:50.
Причина: Добавлено
-
Отключите антивирус и фаервол.
- Очистите темп-папки, кэш проводников, cookies и корзину.
Сделайте полную проверку с помощью cureit в безопасном режиме.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-