Conficker и последствия

Printable View

11.06.2009, 12:19
jun-junk

Вложений: 3

Conficker и последствия

Здравствуйте!
Проблема следующая - сеть была заражена Conficker'ом, после лечения всех компов с отключением от сети и установки обновлений вроде ситуация нормализовалась, NOD32 перестал ругаться и постоянно находить новые зараженные файлы, но возникла проблема - была отмечена сетевая активность машин, в частности - попытки коннекта на 95.211.10.16:17509 и попытки рассылки по SMTP на внешние почтовые серверы. хочу разобраться, что за гадость сидит в компе, ибо NOD32 ничего не находит. вот логи:
11.06.2009, 13:24
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethfomes.sys','');
QuarantineFile('C:\WINDOWS\system32\adptifz.exe','');
DeleteFile('digiwet.dll');
DeleteService('ethfomes');
DeleteFile('C:\WINDOWS\system32\drivers\ethfomes.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=47689[/url]
11.06.2009, 14:07
jun-junk

Вложений: 3

карантин загрузил

машина перестала ломиться по сети, но перехваченные функции остались

вот новые логи:
11.06.2009, 14:12
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ClipSrvBrowser');
QuarantineFile('C:\WINDOWS\system32\adptifz.exe','');
DeleteFile('C:\WINDOWS\system32\adptifz.exe');
DeleteService('ClipSrvBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ClipSrvBrowser');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
11.06.2009, 18:11
jun-junk

Вложений: 3

отключил от инета, выпонил скрипт, в карантин нового ничего не попало, сам карантин закачал.
NOD32 остановил, сеть отключил, темпы почистил, сделал логи
11.06.2009, 19:27
Rene-gad

Жалобы есть?
- Установите IE 8
- Обновите JavaRE
15.06.2009, 13:02
jun-junk

Жалоб нет, спасибо!
16.06.2009, 13:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ethfomes.sys - [B]Backdoor.Win32.IEbooot.a[/B] ( DrWEB: Trojan.Spambot.4438, BitDefender: Trojan.Rlsloupa.A )[/LIST][/LIST]