Показано с 1 по 9 из 9.

Бот-нет (заявка № 7799)

  1. #1
    Junior Member Репутация
    Регистрация
    05.02.2007
    Сообщений
    3
    Вес репутации
    36

    Exclamation Бот-нет

    3 Февраля получил спамбот с одного из сайтов рунета (видимо из взломаных Valuhost-овских).
    Руками поубивал что смог (видимо загрузчик, какой-то trojan loader), но бота не достал.
    После коннекта попытка smtp рассылки (блокировал explorer.exe Outpost-ом). Попытка флуда/коннекта на prevedltd.net checkip.dyndns.org и ещё несколько (аналогично запер).
    Несколько болше обычного процессов svchost.
    Бот-сеть долбит меня командой удалённой перезагрузки закрытой Аутпостом (Видимо "за предательство" Ж) пачками по 5-100/мин.

    Пробовал Cure-it, AVZ, Anitvir, webroot spy sweeper, norton, spyware doctor, anti-trojan sheild 2. Все свежие все по делу не помогли.

    Поскольку содержание писем которые бот пытается слать меняется как и цели/интенсивность флуда похоже я не смог перекрыть входящие команды хозяина ботов.

    (А есть в природе шанс найти этого хозяина (у нас СБ с тоски дохнет ) , сорри за оффтоп).
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    05.02.2007
    Сообщений
    3
    Вес репутации
    36
    Да и ещё в есть некий процесс (Виден в аутлуке, process exp итп) с именем n/a (вырубить себя не даёт, понизить приоритет тоже).

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    выполните следующий скрипт в AVZ, потом пришлите созданный карантин
    Код:
    begin
     QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
     QuarantineFile('C:\WINDOWS\Inf\msio32.dll','');
     DeleteFile('C:\WINDOWS\Inf\msio32.dll');
     DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
    end.

  5. #4
    Geser
    Guest
    c:\windows\explorer.exe Патченый

  6. #5
    Junior Member Репутация
    Регистрация
    05.02.2007
    Сообщений
    3
    Вес репутации
    36
    Полегчало пока, спасибо. Что с c:\windows\explorer.exe делать? Перезаписать новым с СД-диска?
    И есть ли возможность прочитать про функции этой конкретной "вредоносной программы для ЭВМ" или название узнать? Хотелось бы понять нужно ли срочно менять все пароли на удалённые сервисы и т.п.

  7. #6
    Geser
    Guest
    Перезаписать новым

  8. #7
    Geser
    Guest
    И убедиться что система не восстановила патченный из кеша

  9. #8
    Geser
    Guest
    Hello,

    msio32.dll - SpamTool.Win32.Agent.u

    New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

    Please quote all when answering.

    --
    Best regards, Alexander Romanenko
    Virus analyst, Kaspersky Lab.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\inf\\msio32.dll - Trojan-Proxy.Win32.Pixoliz.ia (DrWEB: Trojan.Packed.76)


  • Уважаемый(ая) mtgcollect, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01502 seconds with 20 queries