Rootkit

Printable View

17.07.2008, 17:41
Sosna

Rootkit

Возникли проблемы с машиной:
слала по 4099 портам пакеты + еще прочая сетевая активность.
С недвнего времени после загрузки еще до окна входа в систему уходила на перезагрузку.
Даже в безопасном режиме выкидывала окошко с проблемой в DCOM и перезагрузкой через минуту.
После установки поверх системы стала грузится, но при попытке лечения или анализа AVZ уходила на перезагруз с восстановлением симптомов.
Кроме того в lmhosts была всякая чушь.
После ряда шаманских танцев удалось снять логи.
Посмотрите, как полечить?

Добавлено: сейчас есть сетевая активность по UDP на 207.46.232.182 по порту 123
17.07.2008, 18:06
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\kdzib.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\kdzib.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин по красной ссылке.

Сделать новые логи. После лечения менять пароли.
17.07.2008, 20:46
Sosna

Спасибо, завтра попробую.

А почему менять пароли? Что делают эти вредоносные программы?
17.07.2008, 21:55
Гриша

ntos.exe-это шпион:(
18.07.2008, 15:41
Sosna

Вложений: 3

Спасибо, все полечилось.

Карантин отправил, логи прилагаю.
18.07.2008, 15:42
Гриша

Восстановление нужно отключить,там хранятся копии зловредов.

Жалобы есть?
18.07.2008, 15:54
Sosna

Спасибо, забыл после очередной установки поверх ОС.

Сейчас глянул есть UDP пакеты на 207.46.197.32 и на 207.46.232.182 по порту 123
Недолечилось?
18.07.2008, 17:40
Гриша

Если есть сомнения выполните пункт 2 правил...
22.02.2009, 06:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\msserv.exe - [B]Packed.Win32.Tibs.jn[/B] (DrWEB: Trojan.Packed.555)[*] c:\\windows\\system32\\kdzib.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.22)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.ddx[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]