последствия после трояна
Приветствую!
Судя по всему был пойман тот троян, который ворует пароли от фтп и потом по ним меняет на хостингах индекс файлы (внедряет iframe)
Сам троян, как-бы, убит, но что-то продолжает постоянно лезть в инет по 80 и 25 порту на почтовики от имени services.exe
Подскажите как лечить.
Логи прикрепляю.
Заранее спасибо.
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить в HiJack
Пришлите C:\WINDOWS\System32\drivers\bab3705.sys согласно Приложения 2 правилКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Последний раз редактировалось thyrex; 09.06.2009 в 20:56.
профиксил.
при попытке отправить в карантин
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\drivers\bab3705.sys)
Карантин с использованием прямого чтения - ошибка
Попробуем по другому
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('C:\WINDOWS\System32\drivers\bab3705.sys',''); end.
Файл сохранён как 090610_130726_virus_4a2f77ce35878.zip
Размер файла 109819
MD5 d7cffc349bbe3785b55646e7359549b5
Свеженький bab3705.sys - Rootkit.Win32.KernelBot.go
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\bab3705.sys'); ExecuteSysClean; RebootWindows(true); end.
Сделать новые логи
выполнил прикрепляю.
а как защитится, чтоб этот Rootkit снова не попал?
Nod молчал по этому поводу.
Просто сейчас как раз буду реанимировать сайты где iframe. И чтоб снова не словить чего...
Заранее спасибо.
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\sdpiosys.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
в процессе выполнения скрипта нод ругнулся.
может нужно было отключить?
карантин отправленКод:10.06.2009 16:23:58 Защита в режиме реального времени файл C:\WINDOWS\system32\Drivers\vde4otk4.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован ND\Denisoff Событие произошло в новом файле, созданном следующим приложением: D:\Install\!AV\avz\avz.exe.
логи готовлюКод:Файл сохранён как 090610_173349_virus_4a2fb63d5be76.zip Размер файла 111421 MD5 c04707314b5098fc3c0d13488cb6dac7
логи
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Imau80t'); DeleteService('Msscasncqdb'); DeleteFile('Msscasncqdb.sys'); DeleteFile('Imau80t.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
С помощью IceSword найдите в реестре все строки, в записи которых встречается %fystemRoot%. Замените в эти строках %fystemRoot% на %systemRoot%
Сделайте новые логи
во время выполнения скрипта опять ругнулся нод
улетело 500-600 метров на диске С (может просто подкачки стало больше), искал почему так нашел еще вот такое
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
C:\Documents and Settings\All Users\Application Data\4A14212C9F.sys
+новые логи
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
Антивирус на время выполнения скриптов нужно отключать.
Этих файлов в логах нет (скорее всего прошли по базе безопасных)
KGyGaAvL.sys скорее всего от DivX.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); ExecuteSysClean; RebootWindows(true); end.
Еще раз сделать логи AVZ
место на диске С вообще ушло в ноль из свободного гектара
C:\WINDOWS\system32\drivers\fidbox.dat на 800 метров появился
логи
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
Fidbox.idx и fidbox.dat - это база проверенных файлов на компе iChecker'ом и iSwift'ом (для ускорения скана) в Касперском
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
понялспс.
насчет остатков я так понимаю уже все чисто?
Установите IE8
Установите Adobe Acrobat 9.1 или удалите старый.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
установил и то и то
спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\bab3705.sys - Rootkit.Win32.KernelBot.go ( BitDefender: Gen:Rootkit.Heur.6033CCACAC )
Уважаемый(ая) ndfm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
