Показано с 1 по 4 из 4.

Букет троянов во главе с hacktool.rootkit (заявка № 49885)

  1. #1
    Junior Member Репутация
    Регистрация
    13.07.2009
    Адрес
    Moscow
    Сообщений
    8
    Вес репутации
    54

    Question Букет троянов во главе с hacktool.rootkit

    Symantec 10 обнаружил hacktool.rootkit и с переменным успехом пытался блокировать его активность, но через какое-то непродолжительное время работать за компьютером стало невозможно.

    Загрузился в safe mode (сеть отключена)
    Пробежался по службам ... поотключал подозрительные на мой глаз.

    Скачал и запустил CureIt!

    Первичная проверка прошла удачно (найдены и удалены):

    trojan.download.40159
    trojan.botnetlog.11

    Без перезагрузки запустил вторую полную проверку, было дополнительно найдено:

    trojan.download.38180
    trojan.MulDrop.32530

    ... и на файле ffpma.exe вылетела ошибка:
    "Инструкция по адресу "0x012382a" обратилась к памяти по адресу "0x525ba908". Память не может быть read"

    т.е. CureIt! пару процентов недопроверил.

    Просмотрел логи AVZ ... поотключал немного в авторане инструментом от DiamondCS.

    Перезагрузился в нормальном режиме ... вроде симптомы пропали (выскакивающие с высокой частотой сообщения о невозможности доступа к памяти) ... но не уверен до конца.

    По этому решил обратиться к вам. Действовал по FAQ, логи прилагаются.

    p.s. Если не сложно опишите кратко (или линканите ... не нашел поиском) как проникают вышеперечисленные трояны на машину?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     DeleteService('ati64si');
     DeleteService('i386si');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cC8805rt.sys','');
    DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    13.07.2009
    Адрес
    Moscow
    Сообщений
    8
    Вес репутации
    54
    Как и при первой проверке AVZ, в карантин попала dll, которая похожа на кейлогер. Отправил.

    DeleteService('nicsk32');
    DeleteService('ati64si');
    DeleteService('i386si');
    мда ... имена такие, что на вскидку и не станешь трогать ...

    p.s. И все же ... есть какая-нибудь инфа о том, как эти троянцы функционируют (какие дать рекомендации, что бы повторно не словить)? Судя по форуму, я далеко не первый, кто столкнулся с этими экземплярами ...

    ... или обсуждения принято выносить из ветки "Помогите!" в другую ветку?

    edit: Кстати говоря, эта кейлогерская dll как-то связана со службой FPAP-EXL600, которую отключил еще до запуска CureIt! Как я вижу, это инструмент сбора данных для трояна и/или бот-нета.
    Вложения Вложения
    Последний раз редактировалось T0R; 14.07.2009 в 16:57.

  5. #4
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) T0R, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Букет троянов
      От Fry.Day в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.08.2010, 21:38
    2. букет троянов
      От murr000 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.08.2009, 23:41
    3. Букет из троянов!
      От ghostil в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 22.02.2009, 05:58
    4. букет троянов
      От art1k в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 04:49
    5. букет троянов
      От KellyM в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 04:49

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01407 seconds with 20 queries