-
Junior Member
- Вес репутации
- 61
Подозрительное поведение компьютера
Вчера вечером заходил к знакомым в их организацию, попросили посмотреть, что с компьютером.
Попробовал запустить CureIt - не запускается (или вываливается сразу при запуске). AVZ нашел перехваченные функции и маскировку процесса SVCHOST.EXE, известных вирусов не нашел.
Последний раз редактировалось KonstS; 10.03.2010 в 19:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\crsss.exe','');
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\mswn.exe','');
QuarantineFile('C:\WINDOWS\System32\ALSNDMGR.CPL','');
QuarantineFile('C:\WINDOWS\System32\szsvc.exe','');
QuarantineFile('C:\WINDOWS\System32\crsrs.exe','');
QuarantineFile('C:\WINDOWS\System32\winmsfw.exe','');
QuarantineFile('c:\windows\system32\msqe32.dll','');
QuarantineFile('c:\windows\system32\winmsfw.exe','');
QuarantineFile('C:\WINDOWS\System32\SVCHOST.EXE','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11365
вот эти файлы поискать из safe mode через AVZ по 2 приложению правил и также прислать:
anvninstall.hta
ebeelinstall.hta
Как можно скорее прислать, можете звонить вашим знакомым в организацию , чтобы быстрее прочитали и выполнили. Пока только для классификации и исследования .Потом будем удалять. Стоит проверить все компьютеры, для каждого создать новую тему.
Один из вариантов живущих на данном компьютере- это кейлоггер, записывает все(и/или )определённые нажатия клавиш на клавиатуре и отсылает создателю)Возможно заказной зверьПромышленный шпионаж в действии .Сообщить руководству организации немедленно.
P.S. Скачать последний релиз HijackThis(ссылка в правилах).Правила нужно читать перед каждым запросом о помощи.
P.P.S.Заплатки на решето кто будет ставить? Админ собственно где?
Последний раз редактировалось Shu_b; 27.07.2007 в 10:38.
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
drongo
Как можно скорее прислать, можете звонить вашим знакомым в организацию , чтобы быстрее прочитали и выполнили. Пока только для классификации и исследования .Потом будем удалять. Стоит проверить все компьютеры, для каждого создать новую тему.
Один из вариантов живущих на данном компьютере- это кейлоггер, записывает все(и/или )определённые нажатия клавиш на клавиатуре и отсылает создателю)Возможно заказной зверь
Промышленный шпионаж в действии .Сообщить руководству организации немедленно.
P.S. Скачать последний релиз HijackThis(ссылка в правилах).Правила нужно читать перед каждым запросом о помощи.
P.P.S.Заплатки на решето кто будет ставить? Админ собственно где?
Вряд ли промшпионаж - бюджетники, больница, компов штук 5. Случайно, наверное, занесли - может с какими программами, а может, по инету. Админа как такового нет.
Сегодня вечером схожу и проделаю все действия.
Добавлено через 6 часов 49 минут
Сообщение от
drongo
boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:
http://virusinfo.info/upload_virus.php?tid=11365
вот эти файлы поискать из safe mode через AVZ по 2 приложению правил и также прислать:
anvninstall.hta
ebeelinstall.hta
hta.zip - anvninstall.hta и ebeelinstall.hta
quarantin.zip - файлы карантина
В принципе, CrueIt запустился в защищенном режиме и начал лечить, так что, возможно, и проблем особых нет.
Последний раз редактировалось KonstS; 10.03.2010 в 19:19.
-
После лечения поставить SP2 и кучу заплаток после
сделать новые логи для контроля.Скажите, чтобы поменяли пароли.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- \\anvninstall.hta - Worm.Win32.Feebs.gen (DrWEB: Win32.HLLM.Graz)
- c:\\windows\\system32\\msqe32.dll - Worm.Win32.Feebs.kq (DrWEB: Win32.HLLM.Graz)
- c:\\windows\\system32\\mswn.exe - Worm.Win32.Feebs.kq (DrWEB: Win32.HLLM.Graz)
- c:\\windows\\system32\\winmsfw.exe - Backdoor.Win32.Rbot.bll (DrWEB: Win32.HLLW.MyBot.based)
- \\ebeelinstall.hta - Worm.Win32.Feebs.gen (DrWEB: Win32.HLLM.Graz)
-