Показано с 1 по 4 из 4.

0-Day Trojan (RBot/Hupigon/SdBot variant) --- need cleaning script

  1. #1
    Junior Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    2
    Вес репутации
    34

    0-Day Trojan (RBot/Hupigon/SdBot variant) --- need cleaning script

    Use caution in opening the attached folder --- the original infector is in there, named bank_statement.zip. This is a malformed self-executing zip file, don't click on it!

    My customer clicked on the bank_statement.zip e-mail attachment which started circulating 9/30. It seems likely that it's dropped another Trojan or two as well. This is an exceptionally nasty, stealthed package --- GMER and other rootkit tools find lots of kernel hook activity, but HiJackThis looks pretty clean, all the major virus scanners find nothing with current updates. [Avast! did block my download attempt, so the scanners are starting to catch up...]

    See http://www.virustotal.com/analisis/0...c1bc72bf0601a8, and http://www.threatexpert.com/report.a...6-6fae34194ede for scans of the original infector.

    In normal mode on an XP SP2 system, double-clicking on _any_ application starts it running as a background process, with no open window. The cursor passes under the Start Menu button, so it can't be opened or right-clicked. Right-click Properties don't work on anything else, either. It also boots without prompting for a logon. Anything launched from the Run line doesn't open a window either, e.g. services.msc.

    In Safe Mode, applications can run and open windows normally, logon prompt is normal, etc. HiJackThis and GMER found an obvious infected file: utm3mzgz.sys in Win\System32\drivers, which I renamed from a boot disk, and I've disabled System Restore from the Registry. Unfortunately, I can only run GMER, HiJackThis, ComboFix, AVZ, Avast! etc. from Safe Mode (I do _not_ want to connect this box to the network again for current updates, either!), and they don't seem to be finding much. The normal mode inability to open applications persists.

  2. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  3. #3
    Junior Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    2
    Вес репутации
    34
    I didn't add the syscure file because AVZ didn't find anything to quarantine. Subsequent testing revealed that the boot sector on the drive is also modified --- ran fixmbr, but even Safe Mode boot allowed it to be infected again!

  4. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    The needed files contain info about your system. They must be attached!
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

Похожие темы

  1. Лечение Trojan.Script, JS:Trojan.Script.NC, Trojan.Script!IK
    От Олег_INN в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 29.06.2012, 13:54
  2. Variant Win32/Wigon32 trojan
    От Veneamin в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.04.2009, 23:35
  3. Backdoor SdBot AMV Trojan
    От mkov1979 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.02.2009, 03:59
  4. Trojan-Downloader.Win32.Agent variant
    От tema654 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 20.05.2008, 21:02
  5. Trojan-downloader.Win32.Agent variant
    От radmex в разделе Помогите!
    Ответов: 23
    Последнее сообщение: 14.04.2008, 20:23

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00552 seconds with 16 queries