-
Вложений: 3
эксперименты со злом
[COLOR=black]Здравствуйте,[/COLOR]
[COLOR=black]Мой сайт в интернете был взломан. В индекс страницу был внедрен зашифрованный javascript, который, используя дыру в эксплорере подкачивал на компьютер жертвы кучу троянов. Моя попытка, используя сторонние программы для расшифровки скрипта и определение ip адреса с которого подгружалось зло, закончилась инфицированием моего компьютера. [/COLOR]
[COLOR=black]Большинство троянов, как мне кажется, было обнаружено антивирусными программами, но что-то все-таки проникло в систему. Сумантек антивирус при полной проверки компьютера молчит. Однако часто при загрузке компьютера сообщает о Troyan.Horse 2.tmp (и подобных файлах) появляющихся в папке Local Settings/Temp[/COLOR]
[COLOR=black]Диагностика утилитой от DrWeb -CuteIT обнаружила грабер троян winload.dll в системной папке windows и удалила его. [/COLOR]
[COLOR=black]Однако по прежнему куча процессов стучаться в фаервол и требует интернета.[/COLOR]
[COLOR=black]Буду признателен, если поможете разобраться кто еще остался в системе.[/COLOR]
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Altova\XMLSpy2006\spy.htm','');
QuarantineFile('C:\Program Files\CERN\Privbar\Privbar.dll','');
QuarantineFile('C:\WINNT\system32\winload.dll','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\pavel\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINNT\system32\PЛјd','');
QuarantineFile('C:\WINNT\system32\wups2.dll','');
QuarantineFile('C:\WINNT\system32\wuaueng.dll','');
QuarantineFile('C:\WINNT\system32\mscoree.dll','');
QuarantineFile('c:\program files\cern\nicealerter\nntp.dll','');
QuarantineFile('C:\Program Files\CERN\NiceAlerter\NiceAlerter.exe','');
QuarantineFile('C:\Program Files\CERN\CMF\Temp\PluginsCache\CERN Alerter\Interop.Microsoft.Feeds.Interop.dll','');
QuarantineFile('C:\Program Files\CERN\CMF\Temp\PluginsCache\CERN Alerter\CERN.Win.Alerter.dll','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
[B]boot_copy.log[/B]- из папки AVZ прикрепить к вашему следующему ответу
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11053[/url]
-
Вложений: 1
файл virus.zip отправил по ссылке.
не нашел следующие файлы не в корантине не на диске:
QuarantineFile('C:\WINNT\system32\winload.dll',''); (Этот возможно был удален при диагностике DrWeb -CuteIT)
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\pavel\LOCALS~1\Temp\winlogon.exe',''); (есть только в папке c:\WINNT\System32)
QuarantineFile('C:\WINNT\system32\PЛјd','');
boot_copy.log приатачил.
-
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O2 - BHO: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINNT\system32\winload.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINNT\system32\ntos.exe (User 'Default user')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINNT\system32\ntos.exe (User 'SYSTEM')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[/code]
systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs- надеюсь вы знаете что в этом файлике, на всякий случай пришлите в архиве zip с паролем: virus
по ссылке в шапке.
P.S.По подробнее пожалуйста, что говорит файрвол , про какие файлы ?
-
К сожалению не могу выслать этот файл, у меня его не оказалось на компьютере. Искал вдоль и поперек...
Описание которое нашел в инете:
:http:overclock.net/networking-security/154501-tscuinst-vbs.html
:http:freshmeat.net/projects/tsclient/
С файрволом вроде тоже все нормально. Видно после запуска AVZ или даже раньше по какой-то причине, список доверенных программ в файрволе был испорчен и он фактически был недоволен любым запросом в интернет. После обновления списка, он успокоился. И пока молчит...
Если что-то подозрительное опять будет замечено, буду дополнять этот пост.
Спасибо огромное за вашу помощь!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00500 seconds with 10 queries