-
Junior Member
- Вес репутации
- 56
Backdoor.Win32.SdBot.kfk
Здравствуйте.
Система Win2003 eng
Проверял AVPTool - обнаружил сабж.
Вырезка из логфайла -
будет удалено при перезагрузке компьютера: троянская программа Backdoor.Win32.SdBot.kfk Файл: C:\WINDOWS\system32\drivers\NirCmd.exe
(При перезагрузке файл восстанавливается.)
Так же в папке Windows находит -
удалено: троянская программа Trojan-Downloader.BAT.Ftp.ab Файл: C:\WINDOWS\system32\i
удалено: троянская программа Backdoor.Win32.SdBot.kfk Файл: C:\WINDOWS\system32\NirCmd.exe
В корне диска C находиться файл - y7s7h9h3g3x5.exe
AVPtool его не обнаруживает, зато CureIT его прибивает(детектирует как Dialer.Siggen.121).
После рестарта файл опять на месте.
Помогите убить заразу.
Последний раз редактировалось Тарасов Сергей; 11.02.2009 в 11:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\nircmd.exe');
TerminateProcessByName('c:\y7s7h9h3g3x5.exe');
QuarantineFile('c:\windows\system32\drivers\nircmd.exe','');
QuarantineFile('c:\y7s7h9h3g3x5.exe','');
DeleteFile('c:\windows\system32\drivers\nircmd.exe');
DeleteFile('c:\y7s7h9h3g3x5.exe');
DeleteFile('C:\WINDOWS\system32\i');
DeleteFile('C:\WINDOWS\system32\NirCmd.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=39384
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
После выполнения скрипта компьютер перезагрузится!
После этого не могу подцепиться к этому компьютеру через "Подключение к удаленному рабочему столу" (Компьютер находится в другом здании)
Есть мысли господа?
-
Сообщение от
Тарасов Сергей
Есть мысли господа?
Будут логи - будут мысли.
Восстановление системы нужно было отключить при лечении.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Тарасов Сергей
После выполнения скрипта компьютер перезагрузится!
После этого не могу подцепиться к этому компьютеру через "Подключение к удаленному рабочему столу" (Компьютер находится в другом здании)
Есть мысли господа?
Компьютер был перезагружен вручную, работает нормально.
Со вторым сервером почти аналогичная ситуация. Логи в аттаче.
Последний раз редактировалось Тарасов Сергей; 11.02.2009 в 11:58.
-
Правила для всех одни: для каждого больного - своя тема.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-