Как избавиться от BackDoor`a
Добрый день.
В сеть нашего офиса проник вирус.
Его действия, но я дымаю не все таковы:
1. переименовывает winlogon.exe в winlogon.exe.dll
2. появляется куча файлов в \system32\ autorun.$%# с разными не понятными разшерениями.
3. компьютеры пытаются посетить http:\\219.146.171.56\3211.exe
Помогите пожалуйста
Последний раз редактировалось GTM; 29.06.2007 в 15:56.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А как прикрепить файл?
Внизу окна ответа кнопка Управление вложениями.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Всё сделал..
Файл сохранён как 070629_132825_winlogon_4684d0b97e890.zip
Размер файла 322901
MD5 6d8586a6a71a4360bea375041019ae9b
Последний раз редактировалось GTM; 29.06.2007 в 13:29.
Ответит кто-нибудь... Плиз...
AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить.
Загрузите карантин по правилам.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\d.dll',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); end.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Что то не помогает, всё равно комп долбится на http:\\219.146.171.56/3211.exe это я наблюдаю в межсетевом экране на ISA сервере
Выполните скрипт в AVZ
Повторите логи. У Вас есть установочный диск Windows?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\TEMP\d.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Ещё раз снял логи программ
Ваш winlogon.exe поражен вирусом Virus.Win32.Agent.z.
Восстановить можно двумя способами:
1. Загрузить консоль восстановления с установочного диска Windows и распаковать оттуда оригинальный файл в папку c:\windows\system32.
2. Установить например антивирус Касперского 6.0, который может вылечить ваш зараженный файл. (Скачать полнофункциональную пробную версию на 1 месяц можно здесь: http://www.kaspersky.ru/trials?chapter=186545207). Странно, что ваш DrWeb этого сделать не смог. Базы ему давно обновляли? Может и он бы справится.
А загадочный d.dll так и не удалился. Возможно, его пересоздает ваш winlogon. Попробуйте поймать d.dll поиском файлов в AVZ. Если получится - пришлите по правилам.
I am not young enough to know everything...
Всем спасибо за помощь, Касперский нашёл более 100 заражённых файлов этого вируса, DrWeb похоже тоже был заражён и игнорировал такие файлы.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \\winlogon.exe - Virus.Win32.Agent.z (DrWEB: Trojan.Starter.217)
Уважаемый(ая) GTM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
