Junior Member
Вес репутации
60
не получается избавиться от троянов
Система - w2k3 SP2. Terminal Services - использую.
Сначала был синий экран смерти, с ошбкой чего там _page_ и amon.sys (библиотечка нода). снес нод, сситема заработала, но через очень здорово вырос файл подкачки до 1.5. гига и в последстие памяти и дальше не хватало. Прошелся AVZ. Удалил w32sys15.exe. Вот что осталось. Ещё эта штука украла пароли от ФТП и внедрила некий код (см. cod.txt) в конец каждой страницы сайта. Помогите вылечить.
P.S. что за код такой, что делает?
Вложения
Последний раз редактировалось Kronix; 22.01.2008 в 03:16 .
Причина: добавил инфо о системе
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ваш код это Trojan-Downloader.JS.Remora.bp
Восстановление системы: включено - отключить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('bootrom8.dll','');
QuarantineFile('C:\WINDOWS\system32\w32sys5.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\w32sys5.exe');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteSvc('Deflib');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16768
Junior Member
Вес репутации
60
А восстановление как отключить не подскажите?
Junior Member
Вес репутации
60
смотрел, система windows 2k3 Server. Там ничего по нему нет
Добавлено через 4 часа 5 минут
А если без отключения восстановления системы попробовать, 100% троян возвратится?
Последний раз редактировалось Kronix; 22.01.2008 в 16:37 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
В карантине:
ntos.exe - Trojan-PSW.Win32.Zbot.ds
DefLib.sys - Trojan.Win32.Agent.asu
w32sys5.exe - Trojan-PSW.Win32.LdPinch.fbm
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\Documents and Settings\Administrator\Application Data\ntos.exe,
O20 - Winlogon Notify: bootrom8 - bootrom8.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe','');
DeleteFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
F2 в HijackThis не нашел, карантин закачал 080122_172812_virus_47967c0c3c6ee.zip
Логи скоро будут
Junior Member
Вес репутации
60
Логи с обновленными за сегодня базами
Вложения
Trojan-PSW.Win32.Zbot.ds C:\WINDOWS\system32\ntos.exe
Trojan.Win32.Agent.asu C:\WINDOWS\system32\DefLib.sys
Trojan-PSW.Win32.LdPinch.fbm C:\WINDOWS\system32\w32sys5.exe
Очистьте временные файлы IE, смените все пароли.
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
Выполните:
Код:
var
X : integer;
begin
X := ExecuteWizard('TSW', 1, 1, true);
AddToLog('Количество найденных проблем = '+inttostr(X));
end.
Какие проблемы остались?
Junior Member
Вес репутации
60
Да вроде не осталось проблем.
Подозрительные объекты из отчета удалять(3 файла)?
Добавлено через 1 час 11 минут
Раз уж пометили, что все ок, то АП. Большое спасибо!
Последний раз редактировалось Kronix; 24.01.2008 в 03:11 .
Причина: Добавлено
Подозрительные объекты из отчета удалять(3 файла)?
Нет, что нужно - мы удалили
Не забудьте сменить пароли
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\deflib.sys - Trojan.Win32.Agent.asu (DrWEB: Trojan.NtRootKit.312) c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.yq (DrWEB: Trojan.Proxy.2684) c:\\windows\\system32\\w32sys5.exe - Trojan-PSW.Win32.LdPinch.fbm (DrWEB: Trojan.PWS.LDPinch.4182)