Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/LockScreen.AGU троянская программа очистка не возможна , EAV обнаружил в памяти троян, но не может его удалить

1
RSS
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 02.02.2012 11:33:40
EAV-********
Версия баз: 6848(20120201)
Очередной winlocker, причем процесс успешно убивается удаленно через taskkill, при этом после окно блокировки пропадает и после запуска explorer.exe все работает.
Лечение nod32 нешл только один из файлов %userprofile%\Local Settings\Temp\0.646122499103876.exe - Win32/Spy.Shiz.NCG троянская программа - очищен удалением - изолирован [1]
а файл %userprofile%\Local Settings\Temp\____991.exe не обнаруживает, точнее обнаруживал в памяти:

Level Critical Warning
Scanner Модуль сканирования файлов, исполняемых при запуск
Object файл
Name Оперативная память » %userprofile%\LOCALS~1\Temp\____991.exe
Threat модифицированный Win32/LockScreen.AGU троянская программа
Action очистка невозможна

Но потом я процесс убил, но файл остался и нод при проверки говорит что он чист, хотя в uvs он явно числится подозрительным:
Полное имя                  %userprofile%\LOCAL SETTINGS\TEMP\____991.EXE
Имя файла                   ____991.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      181588 байт
Создан                      02.02.2012 в 08:15:21
Изменен                     02.02.2012 в 08:15:21
Атрибуты                    СКРЫТЫЙ  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Проект1.exe
Версия файла                1.00
Описание                    The Book Provides An Integrated Treatment Of Continuous-Time And Discrete-Time Systems For Two Courses At Undergraduate Level Or One Course A
Продукт                     Toolbox is a MATLAB product for modeling, analyzing, and designing control systems. The functions in this toolbox implement classical and
Copyright                   Magazine publishes ...
Производитель               A control system is a device, or set of devices to manage, command, direct or regulate the behavior of other devices or system. There are two common classes of ...
Комментарий                 IEEE Xplore - Control Systems Magazine, IEEE  ieeexplore.ieee.org › Browse › Journals - ????????? ??? ????????  IEEE Control Systems Magazine is the official means of communication for the IEEE Control Systems Soci
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        D2FEDEC894C1F8C2AF9C3C9C7FB832EAF00FC1FF
MD5                         2F7199B36D78BCC164BD2ED64834EC85
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1264035209-2472686174-2146618077-31990\Software\Microsoft\Windows\CurrentVersion\Run\____991.exe
____991.exe                 %userprofile%\LOCALS~1\Temp\____991.exe
                           

Прикрепляю лог uvs.
Изменено: amd2011 - 02.02.2012 11:51:53
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 02.02.2012 13:03:46
Запустите UVS и выберите Меню "Скрипт" - "выполнить скрипт находящийся в буфере обмена".
И вставьте текст скрипта:

Цитата
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KIROVA.SA\LOCAL SETTINGS\TEMP\____991.EXE
bl 2F7199B36D78BCC164BD2ED64834EC85 181588
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KIROVA.SA\LOCAL SETTINGS\TEMP\____991.EXE
bl 4DA2155A683838F6D2FF544437FB76C8 184320
delall %SystemRoot%\SVCHOST.EXE
deltmp
delnfr
restart
И нажмите выполнить. Компьютер перезагрузится.

Сделайте дополнительно проверку системы malwarebytes (free version): http://www.malwarebytes.org/mbam.php
Установить (только сканер!), отказаться от тестового периода, обновить базы, выполнить быстрое сканирование, после завершения сканирования,текстовый лог сохранить как файл, пришлите нам этот лог файл.

В папке с программой UVS появится папка zoo, ее нужно поместить в архив, установить пароль infected и прислать на адрес [email protected] с просьбой добавить файл в вирусную базу.
ESET Technical Support
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 02.02.2012 13:42:12
svchost.exe здесь переименованный radmin, но возможно установлен злоумышленниками.
--------
Цитата
Полное имя                  C:\WINDOWS\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
www.virustotal.com          2012-01-03 [2006-06-02 21:06:34 UTC ( 5 years, 8 months ago )]
NOD32                       Win32/RemoteAdmin.RAdmin.20
Avast                       Win32:PUP-gen [PUP]
Kaspersky                   not-a-virus:RemoteAdmin.Win32.RAdmin.jh
Microsoft                   RemoteAccess:Win32/GhostRadmin
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер                      184320 байт
Создан                      27.01.2011 в 16:10:22
Изменен                     03.11.2009 в 13:27:22
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 2004                  NT AUTHORITY\SYSTEM
CmdLine                     "C:\WINDOWS\svchost.exe" /service
Процесс создан              08:22:28 [2012.02.02]
С момента создания          02:35:28
parentid = 728              C:\WINDOWS\SYSTEM32\SERVICES.EXE
ESTABLISHED                 10.76.2.46:4899 <-> 10.76.1.6:58656
LISTEN                      0.0.0.0:4899
SHA1                        45C08891E4F811C3EEE4D84474D7CA230B12F4EC
MD5                         4DA2155A683838F6D2FF544437FB76C8
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\r_server\ImagePath
ImagePath                   "C:\WINDOWS\svchost.exe" /service
r_server                    тип запуска: Авто (2)
                           
Образы                      EXE и DLL
SVCHOST.EXE                 C:\WINDOWS
                           
Загруженные DLL             НЕИЗВЕСТНЫЕ
ADMDLL.DLL                  C:\WINDOWS
[ Как создать образ автозапуска? ]
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 02.02.2012 13:53:56
delall %SystemRoot%\SVCHOST.EXE - radmin переименовали дабы умные пользователи не убивали процесс.
Случайно удалил все из папки ZOO :( ,не сделав архив извините.
Прилагаю журнал malwarebytes.
Изменено: amd2011 - 02.02.2012 13:54:18
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 02.02.2012 13:57:33
в малваребайт удалите эту запись
Цитата
Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl­orer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
далее, выполнить наши рекомендации применительно к вашей системе.
http://forum.esetnod32.ru/forum9/topic751/
на этом все.
[ Как создать образ автозапуска? ]
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 02.02.2012 16:08:48
Спасибо огромное.
 
1
Читают тему