Вряд ли простое удаление поможет. А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.Сообщение от MOCT
Вряд ли простое удаление поможет. А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.Сообщение от MOCT
сорри, а можно чуть поподробнее?Сообщение от Geser
АВЗ->Диспетчер драйверов и сервисов-> вкладка драйверов отметить дтайвер нажать кнопку "остановить". После чего проверить не стали ли видны остальные файлы. Но скорее всего не поможетСообщение от MadRat
не помогло.Сообщение от Geser
пошел йбаццца с сервером. фсе файлы вышлю, как только достану из сервака.
всем спасибо, всем пока.
Надо найти спрятанный сервис руткита.. и зделать ему стоп - HaxDef при остановке сервиса - сам снимит хуки и удалит сервис.... сервис предпологаю тоже как "isp????" будет называтся
Естесно все это надо делать при включенном противодействии руткитам!
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
а руткит похоже бывший админ оставил чтобы контору не забывать
неее. он для этого туповат был.Сообщение от SDA
этот супермегакулхацкер, когда уходил, оставил юзергейту разрешение работать со своим (т.е. его домашним) IP. Т.е. не только не скрывал своих похождений через нашу проксю (даже логи юзергейта поленился затирать), но и домашний адрес оставил. а че, типа низзя чели? он же "хороший человек", сын соседа сына друга директора (это не шутка). его и простили не глядя. а щаз этот чувак в армию ушел.
я раньше думал, что такие идиоты только в анекдотах встречаются, но, видимо, ошибался.
такие дела...
И еще один момент. Раньше файл isplogger.sys вылазил ПОСЛЕ перезагрузки. Сегодня после проверки КАВ обнаружил еще один SYS (с другим названием) c этим же трояном. О чем это может говорить? И еще вопрос - если это прокси, то могут ли его заразит вирусы, которые качает клиент из инета со своей рабочей машины?
что остался активный кусок троянаСообщение от MadRat
нетСообщение от MadRat
Троян цел и невредим. Я за него еще и не брался. Только раньше КАВ видел этот троян в одном файле, который появлялся ПОСЛЕ ПЕРЕЗАГРУЗКИ, а теперь этот троян всплыл в файле, которого раньше КАВ не видел.
А не может этот троян сам себя по локальной сети распространять? Я кусок от трояна вам посылал, по нему нельзя определить?
в каких файлах всплыл?Сообщение от MadRat
hkrnlrdv.sys
hxdefdrv.sys
по локалке не распространяется
Из присланных файлов:
dmclih.exe - инфицирован BackDoor.RemoteShell
isplogger.sys - инфицирован BackDoor.HackDef
isplog.exe - инфицирован BackDoor.HackDef.100
Их следует удалить, используя отложенное удаление AVZ. Перезагрузить компьютер и сделать новые логи начиная с 11 пункта правил.
PS Правила изменились. http://virusinfo.info/showthread.php?t=1235
Файлы отправлять через форму, ссылку на тему следует давать в таком виде:
http://virusinfo.info/showthread.php?t=4428
а что за файлики JAcheck.dll и JAstat.dll? если есть на диске - пришлите.
увы, нормальный лог от авз получить не удалось. после работы скрипта архива не остается. сохранил "в процессе".
пришли файлы JAcheck.dll, JAstat.dll - куски от FTP-сервера SERV-U.
поскольку в логах нигде SERV-U не фигурирует, сделан вывод что это куски трояна. в частности, известны случаи когда эти файла распространялись вместе с hxdef (он же HacDef).
поэтому ищите файлы:
servu*.*
search.bat
scan.bat
scan500.exe
pulist.exe
JAcheck.ini
hidden32.exe
csc.exe
ip.exe
sec.exe
pwdump32.exe
sc.exe
samdump.dll
uptime.exe
psinfo.exe
kill0103.exe
psloggedon.exe
fport.exe
hxdefdrv.sys
wzcdla.dll
wmguick.dll
updater.dll
msnet.dll
если что-то из этого найдется - присылайте.
да, и не плохо было бы получить новый лог исследования системы программой AVZ (новая версия - 4.15).
не остается логов после скрипта
Уважаемый(ая) MadRat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.