Показано с 1 по 20 из 20.

последствия после трояна (заявка № 47546)

  1. #1
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28

    Thumbs up последствия после трояна

    Приветствую!

    Судя по всему был пойман тот троян, который ворует пароли от фтп и потом по ним меняет на хостингах индекс файлы (внедряет iframe)

    Сам троян, как-бы, убит, но что-то продолжает постоянно лезть в инет по 80 и 25 порту на почтовики от имени services.exe

    Подскажите как лечить.
    Логи прикрепляю.

    Заранее спасибо.
    Последний раз редактировалось ndfm; 15.09.2010 в 18:06.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Пофиксить в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    Пришлите C:\WINDOWS\System32\drivers\bab3705.sys согласно Приложения 2 правил
    Последний раз редактировалось thyrex; 09.06.2009 в 20:56.

  4. #3
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    профиксил.
    при попытке отправить в карантин
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\drivers\bab3705.sys)
    Карантин с использованием прямого чтения - ошибка

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Попробуем по другому

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS\System32\drivers\bab3705.sys','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

  6. #5
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    Файл сохранён как 090610_130726_virus_4a2f77ce35878.zip
    Размер файла 109819
    MD5 d7cffc349bbe3785b55646e7359549b5

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Свеженький bab3705.sys - Rootkit.Win32.KernelBot.go

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\System32\drivers\bab3705.sys');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделать новые логи

  8. #7
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    выполнил прикрепляю.

    а как защитится, чтоб этот Rootkit снова не попал?
    Nod молчал по этому поводу.
    Просто сейчас как раз буду реанимировать сайты где iframe. И чтоб снова не словить чего...

    Заранее спасибо.
    Последний раз редактировалось ndfm; 15.09.2010 в 18:06.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\sdpiosys.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

  10. #9
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    в процессе выполнения скрипта нод ругнулся.
    может нужно было отключить?

    Код:
    10.06.2009 16:23:58	Защита в режиме реального времени	файл	C:\WINDOWS\system32\Drivers\vde4otk4.sys	вероятно модифицированный  Win32/Agent  троянская программа	очищен удалением - изолирован	ND\Denisoff	Событие произошло в новом файле, созданном следующим приложением: D:\Install\!AV\avz\avz.exe.
    карантин отправлен
    Код:
    Файл сохранён как	090610_173349_virus_4a2fb63d5be76.zip
    Размер файла	111421
    MD5	c04707314b5098fc3c0d13488cb6dac7
    логи готовлю

  11. #10
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    логи
    Последний раз редактировалось ndfm; 15.09.2010 в 18:06.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('Imau80t');
     DeleteService('Msscasncqdb');
     DeleteFile('Msscasncqdb.sys');
     DeleteFile('Imau80t.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    С помощью IceSword найдите в реестре все строки, в записи которых встречается %fystemRoot%. Замените в эти строках %fystemRoot% на %systemRoot%

    Сделайте новые логи

  13. #12
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    во время выполнения скрипта опять ругнулся нод

    улетело 500-600 метров на диске С (может просто подкачки стало больше), искал почему так нашел еще вот такое
    C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
    C:\Documents and Settings\All Users\Application Data\4A14212C9F.sys

    +новые логи
    Последний раз редактировалось ndfm; 15.09.2010 в 18:06.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Антивирус на время выполнения скриптов нужно отключать.

    Этих файлов в логах нет (скорее всего прошли по базе безопасных)
    KGyGaAvL.sys скорее всего от DivX.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Еще раз сделать логи AVZ

  15. #14
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    место на диске С вообще ушло в ноль из свободного гектара

    C:\WINDOWS\system32\drivers\fidbox.dat на 800 метров появился

    логи
    Последний раз редактировалось ndfm; 15.09.2010 в 18:06.

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Fidbox.idx и fidbox.dat - это база проверенных файлов на компе iChecker'ом и iSwift'ом (для ускорения скана) в Касперском
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    понял спс.
    насчет остатков я так понимаю уже все чисто?

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,498
    Вес репутации
    2914
    Установите IE8
    Установите Adobe Acrobat 9.1 или удалите старый.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    установил и то и то

  20. #19
    Junior Member Репутация
    Регистрация
    09.06.2009
    Сообщений
    35
    Вес репутации
    28
    спасибо за помощь

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,521
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\bab3705.sys - Rootkit.Win32.KernelBot.go ( BitDefender: Gen:Rootkit.Heur.6033CCACAC )


  • Уважаемый(ая) ndfm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Последствия sms-Трояна?
      От xlim в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.03.2012, 17:50
    2. Последствия трояна
      От loner69 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.03.2010, 00:20
    3. Ответов: 1
      Последнее сообщение: 28.02.2010, 20:10
    4. Последствия трояна-вымогателя
      От Delion в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.01.2010, 10:58
    5. Последствия после трояна!
      От s_kocha в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.03.2008, 09:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01376 seconds with 20 queries