Лечить Backdoor.Win32.Nbdd.ln

[Irbis73]

Добрый вечер!

 

Помогите выличить Backdoor.Win32.Nbdd.ln.

 

Kaspersky Virus Removal Tool 2011 не работает, выходит в ошибку.

Логи AVZ и RSIT во вложении.

3 задания в планировщике, это "нормальные" задания.

 

Подскажите AVZ можно запускать через RDP или обязательно локально?

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[thyrex]

Сделайте лог полного сканирования МВАМ

[Irbis73]

Сделайте лог полного сканирования МВАМ

thyrex, логи сделал. Прилагаю.

MBAM-log-2013-07-18 (13-57-39).txt

Изменено 18 июля, 2013 пользователем Irbis73

[Roman_Five]

Удалите в MBAM только следующие объекты:

Registry Keys Detected: 3
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\net1.exe (Security.Hijack) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\p.exe (Security.Hijack) -> No action taken.

Files Detected: 25
C:\Documents and Settings\a.vereshchagin\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00001.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00002.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00003.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00004.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00005.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00006.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00007.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00008.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00009.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00010.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00011.dta (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken.
C:\Documents and Settings\m.zinakov\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken.
C:\Documents and Settings\n.lyzlova\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken.
C:\Documents and Settings\root\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken.
C:\RECYCLER\boot123.exe (FakeMS) -> No action taken.
C:\RECYCLER\hex123.exe (FakeMS) -> No action taken.
C:\WINDOWS\HackYuker.exe (FakeMS) -> No action taken.
C:\WINDOWS\addins\xy135.exe (PUP.Hacktool) -> No action taken.
C:\WINDOWS\addins\NTscan\system.exe (PUP.Hacktool) -> No action taken.
C:\WINDOWS\system32\boot123.exe (FakeMS) -> No action taken.
C:\WINDOWS\system32\hex123.exe (FakeMS) -> No action taken.
C:\RECYCLER\xp123.exe (Trojan.Agent) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Вам знаком этот файл?

F:\Install\srv9.1ent\keygen.exe

[Irbis73]

Удалите в MBAM только следующие объекты:

 

После удаления откройте лог и прикрепите его к сообщению.

 

Вам знаком этот файл?

F:\Install\srv9.1ent\keygen.exe

Все сделал согласно инструкции. Компьютер перезагрузился.

Лог во вложении.

 

Удалил всю папку srv9.1ent.

 

Пока сканировал, MBAM отразил пару раз атаку с адреса 213.186.127.244

mbam-log-2013-07-18 (20-51-16).txt

Изменено 18 июля, 2013 пользователем Irbis73

[Roman_Five]

сделайте новые логи AVZ

[Irbis73]

сделайте новые логи AVZ

Новые логи во вложении.

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

переделайте логи AVZ НЕ из терминальной сессии.

[Irbis73]

Логи во вложении.

В планировщике добавлены 4 задания spooler.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

отладчики для этих 4-х процессов Ваши?

Опасно - отладчик процесса "cs.exe" = "exit"
Опасно - отладчик процесса "odsole70.dll" = "exit"
Опасно - отладчик процесса "wscript.exe" = "exit"
Опасно - отладчик процесса "xplog70.dll" = "exit"

[Irbis73]

отладчики для этих 4-х процессов Ваши?

Опасно - отладчик процесса "cs.exe" = "exit"
Опасно - отладчик процесса "odsole70.dll" = "exit"
Опасно - отладчик процесса "wscript.exe" = "exit"
Опасно - отладчик процесса "xplog70.dll" = "exit"

нет, отладчики не мои.

xplog70.dll SQL библиотека, размер, MD5 и SHA1 соответствуют нормам. Установлена SQL 2005.

wscript.exe размер правильный, а вот MD5 и SHA1 отличаются

cs.exe и odsole70.dll нет на диске, назначение файла cs.exe мне неизвестно

[Roman_Five]

Перед выполнением следующих операций создайте новую точку восстановления системы!

 

Удалите в MBAM только следующие объекты:

Registry Keys Detected: 3
HKLM\System\CurrentControlSet\Services\MediaCenter (Trojan.Agent) -> No action taken.

Registry Values Detected: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe|Debugger (Security.Hijack) -> Data: exit -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost|krnlsrvc (Trojan.Agent) -> Data: MediaCenter^ -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>>  Обнаружен отладчик системного процесса

Приложите новые логи AVZ

[Irbis73]

Roman_Five, спасибо за помощь.

В понедельник-вторник выполню ваши советы.