Показано с 1 по 8 из 8.

Руткит ушел, а след осатлся (заявка № 44265)

  1. #1
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    4
    Вес репутации
    32

    Thumbs up Руткит ушел, а след осатлся

    Добрый день!
    Боролся с Hacktool.Rootkit+Trojan.Pandex+Downloader(Symantec AV) благодаря инфе в темах форума. Кажется успешно. Нашел иубил Trojan-Dropper.Win32.Agent.ampy+Trojan-Downloader.Win32.Agent.bhis (AVPTool).
    Но после этого для повторной проверки AVZ.ехе и HijackThis.exeпришлось переименовать в game.exeи game2.exe соотв (иначе не запускались). При сканировании в списке подозрительных остался SYMEVENT.SYS (как перехватчик KernelMode), в протоколе работы АВЗ - перехват ряда функций неизв.програмой, болит в автозапуске и ряд процесов -C:\Documents and Settings\ССС\.exe; ...ССС\ССС.exe.



    Прошу,

    помогите долечить машину, или я его, или он мой ноут.



    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    много убили, но и осталось достаточно.
    профиксить:
    Код:
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    deleteservice('lanmanworkstationaspnet_state');
    QuarantineFile('C:\WINDOWS\system32\appenda.exe','');
     QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
     QuarantineFile('crypts.dll','');
     QuarantineFile('C:\Documents and Settings\ССС\.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     DeleteService('netsik');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('c:\documents and settings\ССС\ССС.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\Documents and Settings\ССС\.exe');
     DeleteFile('crypts.dll');
     DeleteFile('C:\WINDOWS\system32\digiwet.dll');
     ExecuteRepair(9);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать новые логи.
    Загрузить карантин через http://virusinfo.info/upload_virus.php?tid=44265
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    4
    Вес репутации
    32
    Павел, большое спасибо за неотложку, уже стало легче дышать. Выполнил Ваши инструкции, в приложении даю новые логи. Посмотрите, по-возможности.

    P.S. Не могу загружать логи и карантин прямо с сайта на моем ноуте, т.к. сбоит при загрузке, использую компьютер коллеги. Неужели трояны так поумнели?
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Если через флешку переносите, то все возможно.
    А по сети может Кидо бегать.

    Да, и еще: я бы файл hosts почистил. Из-за него может Инет тормозить.

    Добавлено через 1 минуту

    Профиксить:
    Код:
    O4 - HKCU\..\Run: [ССС] C:\Documents and Settings\ССС\ССС.exe /i
    Вот это не убилось: 'C:\WINDOWS\system32\appenda.exe'. Подозреваю, что он основной зверь.

    Добавлено через 5 минут

    Для добивания:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    deleteservice('lanmanworkstationaspnet_state');
     DeleteFile(' C:\WINDOWS\system32\appenda.exe');
     DeleteFile('c:\documents and settings\ССС\ССС.exe');
    ExecuteRepair(9);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    
    end.
    Повторить только логи.

    Добавлено через 35 минут

    Что было:
    appenda.exe - Email-Worm.Win32.Joleee.nu
    digiwet.dll - Trojan-Downloader.Win32.Injecter.crm
    ССС.exe - Trojan.Win32.Agent2.ifp

    по классификации ЛК
    Последний раз редактировалось PavelA; 21.04.2009 в 17:56. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    4
    Вес репутации
    32
    Заношу на сайт с другого компа через флешку, а в сети действительно Кидо - видел его в страстную пятницу у шефа на машине, когда на всякий случай решил прогнать ее через АВТ Касперского. Но он какой-то странный Кидо (в названии пойманого вируса есть ...win32.Kido.*-точно не помню, завтра посмотрю), - позволяет заходить на Symantek&Virusinfo, поэтому решил его не бояться. "Добрый" Кидо, наверное
    Направляю ранее оговореные логи и низкий поклон за блестящее руководство борьбой со зверем. Можно узнать как его зовут?
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В логах чисто. Как зовутся зверьки написал выше.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    17.04.2009
    Сообщений
    4
    Вес репутации
    32
    Павел, огромное СПАСИБО за оказанную помощь, она была действительно скорой и компетентной. Во истину "респект и уважуха" таким профессионалам, как Вы.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\ссс\ссс.exe - Trojan.Win32.Agent2.ifp ( DrWEB: Trojan.DownLoad.33158 )
      2. c:\windows\system32\appenda.exe - Email-Worm.Win32.Joleee.nu ( DrWEB: BackDoor.IRC.Bot.114 )
      3. c:\windows\system32\digiwet.dll - Trojan-Downloader.Win32.Injecter.crm ( DrWEB: Trojan.Botnetlog.3 )


  • Уважаемый(ая) Grits, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Про девчушек из Белого Бора
      От SDA в разделе Оффтоп
      Ответов: 0
      Последнее сообщение: 15.05.2009, 22:14
    2. Ушел с экранов Radarix
      От SDA в разделе Другие новости
      Ответов: 1
      Последнее сообщение: 26.04.2009, 19:41
    3. Файловый след
      От Qurt в разделе Общая сетевая безопасность
      Ответов: 6
      Последнее сообщение: 29.01.2008, 15:46
    4. Ушел трафик
      От Хельга в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.12.2007, 09:47
    5. Помогите найти где можно скачать след. adware/spyware
      От Tra1toR в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 24.04.2006, 21:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01646 seconds with 17 queries