что с проблемой?
[QUOTE]11.03.2015 21:56:51 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(3528) модифицированный Win32/Lurk.AA троянская программа очищен удалением
11.03.2015 21:56:36    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен удалением    MICROSOFT-PC\DINO    
11.03.2015 21:53:06    Модуль сканирования по требованию    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен - содержит зараженные файлы        
11.03.2015 21:34:31    Модуль сканирования по требованию    файл    Оперативная память = explorer.exe(3784)    модифицированный Win32/Lurk.AA троянская программа    очищен - содержит зараженные файлы        [/QUOTE]
решена скриптом?

[QUOTE]C:\Windows\System32\GroupPolicy\csrss.exe[/QUOTE]
да, этот файл был виден в образе, при проверке на VT оказывается чист, хотя по идее, нечего ему там делать.
давайте новый образ автозапуска посмотрим.
там на этот файл есть еще несколько других с подобным хэшем.

C:\WINDOWS\SYSTEM32\GROUPPOLICY\CSRSS.EXE
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)

возможно, вот эта служба восстанавливает данный csrss.exe

[QUOTE]C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE
HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)[/QUOTE]
угу, тоже попал под детект сигнатуры, добавленной Zloydi
a variant of MSIL/Gruf.A
[URL=https://www.virustotal.com/ru/file/8a3a80dc3c88f303cf0607688648bc82a32680b93c0768dcadd17f3ecea4dd24/analysis/]https://www.virustotal.com/ru/file/8a3a80dc3c88f303cf0607688648bc82a32680b93c0768dcadd17f3ecea4dd24/...[/URL]

сама служба похоже легальная
SNMPTRAP Service
[URL=http://support.hp.com/us-en/document/c01862894?openCLC=true?docNotFound=true]http://support.hp.com/us-en/document/c01862894?openCLC=true?docNotFound=true[/URL]

есть ли  подмена здесь файла или нет, вопрос конечно.


--------------------
значит, эту пару файлов тоже надо сносить скриптом.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %Sys32%\GROUPPOLICY\CSRSS.EXE
delall %Sys32%\GROUPPOLICY\CSRSS.EXE
zoo %Sys32%\SNMPTRPS.EXE
delall %Sys32%\SNMPTRPS.EXE
QUIT
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
+
[B]добавить новый образ автозапуска для контроля.[/B]

скрипт делает копии удаляемых файлов, затем будет удалять указанный файл вместе со ссылками на него в реестре.
после завершения выполнения скрипта будет запущен архиватор, который добавит копии файлов в архив,
и на этом выполнение скрипта завершится.
QUIT здесь выход из программы без перезагрузки системы.
------
как поведет себя контролер домена в процессе удаления конечно вопрос,
[B]может лучше все таки выполнить скрипт, перед тем как вам можно будет его перезагрузить?[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
delall %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
delall %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
delall %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
zoo %Sys32%\ISCSITRG.EXE
delall %Sys32%\ISCSITRG.EXE
zoo %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
czoo
QUIT[/CODE]после выполнения скрипта, сделайте новый образ автозапуска,
посмотрим, что там останется.
и что произойдет с проблемой.

значит скрытый.
пишем скрипт очистки?
можно перегрузить сервер или без перезагрузки?
------
или сами все зачистите?

+
просьба к вам:
вот эти все указанные файлы добавить в архив с паролем infected и выслать в почту
[QUOTE] [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL] [/QUOTE]

хорошо,
желательно поменять пароли от почты, так как выход в сеть был через левый DNS сервер. мало ли что могло быть. лучще подстраховаться.

+
проверьте, что это такое, с тем же SHA что и указанные файлы в темпе


[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\ISCSITRG.EXE
Имя файла                   ISCSITRG.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
[URL=http://www.virustotal.com]www.virustotal.com[/URL] 2015-03-11
BitDefender                 Trojan.Generic.11932309
Avast                       Win32:Malware-gen
                           
Удовлетворяет критериям    
TEMP.CRITERY                (SHA1 = 7F3F5363C368B72A7BD9E6BF289433D68BFE2D25)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     538ED42B14000
Linker                      11.0
Размер                      59392 байт
Создан                      13.01.2012 в 10:25:55
Изменен                     16.07.2011 в 08:37:12
                           
TimeStamp                   04.06.2014 в 08:09:15
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            c.exe
Версия файла                6.57.2758.0
Описание                    Microsoft
Производитель               Microsoft
Комментарий                 Microsoft
                           
Доп. информация             на момент обновления списка
SHA1                        7F3F5363C368B72A7BD9E6BF289433D68BFE2D25
MD5                         45E65FD654EF7CAB54DB1BF3E04481BE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\iscsitrg\ImagePath
ImagePath                   C:\Windows\System32\iscsitrg.exe svc
iscsitrg                    тип запуска: Авто (2)
[/QUOTE]
                         

мы не совсем техподдержка, оказываем помощь по мере сил всем пользователям, за исключением тем, кто работает с ломанными антивирусами.

[QUOTE]вот эти файлы явно вирусняк
C:\WINDOWS\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
Trojan.Generic.11932309
Win32:Malware-gen
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
[/QUOTE]

и другие те что в темпе.
---------
и судя по образу - они все одинаковы, один и тоже хэш SHA1
------------


могу написать скрипт очистки, который зачистит эти файлы без перезагрузки системы,
и затем посмотрим, появятся они опять или нет.

[QUOTE]Kz kovich написал:
Просканировал на удаленные файлы в поиске secring.gpg, был найден лишь один [URL=http://rghost.ru/6n8jsKSBs]http://rghost.ru/6n8jsKSBs[/URL] в пути "\Users\username\AppData\Roaming\gnupg\", но его размер показывает 0 байт.[/QUOTE]
нулевой ключ, конечно, будет бесполезен для расшифровки.

[QUOTE]Станислав Дёгтев написал:
VAULT.KEY - это не secring.gpg, это зашифрованный экспортированный из него секретный ключ. secring.gpg зашифрован в CONFIRMATION.KEY.
[/QUOTE]
это не одно и тоже, потому что в VAULT.KEY добавлена еще информация о имени компа, об учетной записи, а дате шифрования, о количестве зашифрованных файлов.
кроме этого в VAULT. KEY так же добавлен и secring.gpg из уникальной ключевой пары pub/sec созданной на компе юзера при запуске шифратора.

вот таким может быть содержание VAULT.KEY в расшифрованном виде. т.е. на момент до шифрования паблик ключом вымогателей. (VAULT.KEY=RENAME(vaultkey.vlt.gpg))

[QUOTE]-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1

lQHYBFTHMgEBBADj047UoSz3HIN+oqqj0gMh8es5+QP4eJ1NZcmSgKgQRj5Q­rtZb
i02ptJB7FohhHroBLobpRqhnj/IeDZoXJg/AMOFZVMEyQkHSnyQTqp+i09WP­pk1a
cZy8otK+72VJsGJBMvjNinK8G7NgpNzeeYZbIwDCvqyEPR79RfUUe9ZIsQAR­AQAB
AAP/ZSLURBXspSI2SXAiuiiPlXEUUB74IURB6EroSa3tbZQRM7X5mJfleRGc­Fdgx
4JNIVR/3afUg6yBehfLZ1a7izEMgijD7tX5zxXSFKDt9n2JbzLu4FaMwX1/Y­yQno
J/d5uBbZz2yedkLKxNi+1+mc9mCrt7ar9tMvSR9d9gnp6DUCAOoDE8ma8p8O­PJU+
wzto4dadkrPKJEZKe4UnM/HJhyBW2iYKo2XrZtdPsPM/n77dGF//KwXHqK0g­6tDu
Z9wSWCcCAPk7sRW2w+P9Ka5A9je1cIBhZae8tBp2LV5Bi/hYPlr8s99t/9li­D1zc
NKOQeuvuECjpLgnVWUuaUdwQ4MUuR2cB+wfxAxat5u973T75b5MkVgrcM1ez­UaxA
ZbFyvXF+AgQ5cDUsrEXrR3VICn+Qjrd7W7otisQqGUl8ZvawjYPWWBakHLQY­Q2Vs
bGFyIChDZWxsYXIpIDx2QHUubHQ+iLgEEwECACIFAlTHMgECGy8GCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEKgJFUnaPhmeTAUD/RZXaJX47INoqjE/BE2K­jsJ8
aYmLlEqFRsyJqt6INVN31wjehf1GOQkByocXOLk9gpx+BBljMJ7sTj/yWu9J­ca7Z
t9g0sLxNxEy6j1WXafhgd1+B7Wve3AYRYjwMw9SbLrD6Y1njMnsvpTH6MXfB­K2th
ebXUrvkzH1IkHz7PAsKM
=E5vW
-----END PGP PRIVATE KEY BLOCK-----

BDATE: 27.01.2015
UNAME: *****
CNAME: *****
ULANG: RU
01HSH: 284
02HSH: 26484
03HSH: 29780
04HSH: 18475
05HSH: 28341
[/QUOTE]
FHASH: 8345


здесь как раз и содержится secring.gpg юзера между строками BEGIN и END