Backdoor.Win32.HacDef.b

Geser · 12.01.2006, 13:38

Сообщение от MOCT

пришел. троян. убивайте его AVZ из списка драйверов, возможно после этого полегчает с убиением процессов экзешников

Вряд ли простое удаление поможет. А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**MadRat** · 12.01.2006, 13:52

Сообщение от Geser

А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.

сорри, а можно чуть поподробнее?

Geser · 12.01.2006, 13:56

Сообщение от MadRat

сорри, а можно чуть поподробнее?

АВЗ->Диспетчер драйверов и сервисов-> вкладка драйверов отметить дтайвер нажать кнопку "остановить". После чего проверить не стали ли видны остальные файлы. Но скорее всего не поможет

**MadRat** · 12.01.2006, 14:35

Сообщение от Geser

Но скорее всего не поможет

не помогло.
пошел йбаццца с сервером. фсе файлы вышлю, как только достану из сервака.
всем спасибо, всем пока.

**Sanja** · 12.01.2006, 19:36

Надо найти спрятанный сервис руткита.. и зделать ему стоп - HaxDef при остановке сервиса - сам снимит хуки и удалит сервис.... сервис предпологаю тоже как "isp????" будет называтся

Естесно все это надо делать при включенном противодействии руткитам!

**SDA** · 12.01.2006, 20:03

а руткит похоже бывший админ оставил

чтобы контору не забывать

**MadRat** · 13.01.2006, 07:27

Сообщение от SDA

а руткит похоже бывший админ оставил

чтобы контору не забывать

неее. он для этого туповат был.
этот супермегакулхацкер, когда уходил, оставил юзергейту разрешение работать со своим (т.е. его домашним) IP. Т.е. не только не скрывал своих похождений через нашу проксю (даже логи юзергейта поленился затирать), но и домашний адрес оставил. а че, типа низзя чели? он же "хороший человек", сын соседа сына друга директора (это не шутка). его и простили не глядя. а щаз этот чувак в армию ушел.
я раньше думал, что такие идиоты только в анекдотах встречаются, но, видимо, ошибался.
такие дела...

**MadRat** · 16.01.2006, 09:25

И еще один момент. Раньше файл isplogger.sys вылазил ПОСЛЕ перезагрузки. Сегодня после проверки КАВ обнаружил еще один SYS (с другим названием) c этим же трояном. О чем это может говорить? И еще вопрос - если это прокси, то могут ли его заразит вирусы, которые качает клиент из инета со своей рабочей машины?

**MOCT** · 16.01.2006, 09:40

Сообщение от MadRat

И еще один момент. Раньше файл isplogger.sys вылазил ПОСЛЕ перезагрузки. Сегодня после проверки КАВ обнаружил еще один SYS (с другим названием) c этим же трояном. О чем это может говорить?

что остался активный кусок трояна

Сообщение от MadRat

И еще вопрос - если это прокси, то могут ли его заразит вирусы, которые качает клиент из инета со своей рабочей машины?

нет

**MadRat** · 16.01.2006, 09:47

Троян цел и невредим. Я за него еще и не брался. Только раньше КАВ видел этот троян в одном файле, который появлялся ПОСЛЕ ПЕРЕЗАГРУЗКИ, а теперь этот троян всплыл в файле, которого раньше КАВ не видел.
А не может этот троян сам себя по локальной сети распространять? Я кусок от трояна вам посылал, по нему нельзя определить?

**MOCT** · 16.01.2006, 09:56

Сообщение от MadRat

Троян цел и невредим. Я за него еще и не брался. Только раньше КАВ видел этот троян в одном файле, который появлялся ПОСЛЕ ПЕРЕЗАГРУЗКИ, а теперь этот троян всплыл в файле, которого раньше КАВ не видел.
А не может этот троян сам себя по локальной сети распространять? Я кусок от трояна вам посылал, по нему нельзя определить?

в каких файлах всплыл?
hkrnlrdv.sys
hxdefdrv.sys

по локалке не распространяется

**AndreyKa** · 13.03.2006, 16:25

Из присланных файлов:
dmclih.exe - инфицирован BackDoor.RemoteShell
isplogger.sys - инфицирован BackDoor.HackDef
isplog.exe - инфицирован BackDoor.HackDef.100
Их следует удалить, используя отложенное удаление AVZ. Перезагрузить компьютер и сделать новые логи начиная с 11 пункта правил.

PS Правила изменились. http://virusinfo.info/showthread.php?t=1235
Файлы отправлять через форму, ссылку на тему следует давать в таком виде:
http://virusinfo.info/showthread.php?t=4428

**MOCT** · 13.03.2006, 19:25

а что за файлики JAcheck.dll и JAstat.dll? если есть на диске - пришлите.

**MadRat** · 15.03.2006, 09:40

увы, нормальный лог от авз получить не удалось. после работы скрипта архива не остается. сохранил "в процессе".

**MOCT** · 15.03.2006, 09:56

пришли файлы JAcheck.dll, JAstat.dll - куски от FTP-сервера SERV-U.
поскольку в логах нигде SERV-U не фигурирует, сделан вывод что это куски трояна. в частности, известны случаи когда эти файла распространялись вместе с hxdef (он же HacDef).

поэтому ищите файлы:
servu*.*
search.bat
scan.bat
scan500.exe
pulist.exe
JAcheck.ini
hidden32.exe
csc.exe
ip.exe
sec.exe
pwdump32.exe
sc.exe
samdump.dll
uptime.exe
psinfo.exe
kill0103.exe
psloggedon.exe
fport.exe
hxdefdrv.sys
wzcdla.dll
wmguick.dll
updater.dll
msnet.dll
если что-то из этого найдется - присылайте.
да, и не плохо было бы получить новый лог исследования системы программой AVZ (новая версия - 4.15).

**MadRat** · 15.03.2006, 11:43

не остается логов после скрипта

Backdoor.Win32.HacDef.b (заявка № 4428)

Опции темы

Похожие темы

Последствия вирусов: Backdoor.Win32.Shiz.vp, Packed.Win32.Krap.h, Trojan-Downloader.Win32.Agent.esao, Trojan.JS.Redirector.nf

При подключении к интернету Антивирус Касперского 7.0 пишет по очереди загрузка вируса Packed.win32.Krap.al, BackDoor.Win32.Bifrose.cbrp, Trojan.Win32.Agent.dgbi заблокированна (заявка №4422)

win32/adware.virtumonde win32/privacyremover.m64; buritos kobcka BackDoor.Bulknet.238

Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit

BackDoor.Scard (Backdoor.Win32.Small.bq)

Ваши права в разделе