Показано с 1 по 7 из 7.

Нужна помощь в удалении спам-бота (заявка № 22738)

  1. #1
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59

    Thumbs up Нужна помощь в удалении спам-бота

    На нескольких компьютерах в своё время поселился небызызвестный ntos.exe.
    На первых заражённых им машинах всё удалось вычистить вручную, на нескольких (где он успел "прожить" несколько дней и накачать разной гадости) пришлось использовать AVZ. На ещё 2-х машинах всё печальнее. Там он прожил чуть ли не неделю или даже больше. От "побочных" троянов и прочих гадостей успешно почистил одну из машин, но там прописалась на уровне сервиса (их было 2) - которая во первых прятала свои файлы и защищала их от удаления (+ в реестре тоже), а вторая занималась закачкой новой гадости на машину и держала открытыми 2 порта. С этим тоже удалось разобраться, благодаря AVPTool (AVZ эта гадость блочила - просто не давала скопировать или создать любые файлы с расширением AVZ). Короче осталась последняя машина. Вычещено всё, но оч. глубого и хорошо засел в системе спам-бот (в данный момент его деятельность заблочена фаерволом на роутере).

    Не получается сделать лечение и анализ системы скриптом AVZ - т.к. при попытке блокирования Root-kit kernel mode система тут же падает с синим экраном. Проверялось в различных режимах (включая безопасный), даже был удалён антивирус и т.д. - не помогает. Единственное что удаётся сделать с помощью AVZ - общий стандартный скан. Выкладываю лог текстом, т.к. нет смысла его прикладывать (он не соответствует правилам) во вложении.

    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=082B80)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 80559B80
    KiST = 804E2D20 (284)
    Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp F73846B1Bfgk52.sys
    Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F738441DBfgk52.sys

    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F737FED5 -> Bfgk52.sys
    Проверка завершена
    виновник собственно BFGK52.SYS который очень плотненько где то засел. Как удалить гада - придумать не удалось, поэтому обращаюсь за помощью.

    Прилагаю только лог от hijackthis.

    Заранее спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачать,меню,File,появится аналог проводника,найти:Bfgk52.sys,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    После этого попробуйте сделать логи.

  4. #3
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    спасибо! нашёлся в system32/drivers

    удалил, перезагрузился, решил ещё раз в драйверы слазить - отсортировал по дате файлы - было много "свежих" майских. Убил все эти файлы. Ребутнул - нашлись как бы 2 устройства (неизвестных), удалил их в диспетчере устройств. Посмотрел ещё раз IceSword'ом директорию драйверов. Нашёл 2 довольно больших файла (600kb один и ещё один поменьше), которые тут же восстанавливаются после удаления. Посмотрел на нескольких машинах - ничего подобного нигде не встречается, в dllcache тоже не было их.

    Прогнал скрипт AVZ (лечение и сбор информации), нашёл много интересного в логе =)
    После этого перезагрузился и прогнал 2-й скрипт...

    Прикладываю 2 файлика. Сейчас проверил - всё чисто. Спам-бот помер после удаления bfgk52.sys, больше никакой активности пока что не наблюдается. Восстановил антивирь (Symantec Antivir Corporate).
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Мусор в реестре от руткита удалим.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('Bfgk52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bfgk52.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Bfgk52');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    сделал. снова прилагаю 2 файла от AVZ.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Чисто,жалобы есть?

  8. #7
    Junior Member Репутация
    Регистрация
    28.04.2008
    Сообщений
    25
    Вес репутации
    59
    левой сетевой активности нет, портов открытых левых тоже нет, в процессах ничего лишнего, проц ничего не грузит, с виду всё нормально

    спасибо за помощь!

  • Уважаемый(ая) Gre4ka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. нужна помощь в удалении вируса HEUR: Trojan.Win 32. Generic
      От алексей1986 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.03.2012, 18:41
    2. Ответов: 30
      Последнее сообщение: 23.05.2010, 12:13
    3. Нужна помощь в Удалении вируса Palevo.rmm
      От forever в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.04.2010, 09:42
    4. Нужна помощь в удалении runouce из системы
      От Artem13 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.01.2010, 20:51
    5. Нужна помощь в удалении AdSubscride
      От ENISSD в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.06.2009, 15:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01407 seconds with 18 queries