-
Junior Member
- Вес репутации
- 55
последствия после трояна
Приветствую!
Судя по всему был пойман тот троян, который ворует пароли от фтп и потом по ним меняет на хостингах индекс файлы (внедряет iframe)
Сам троян, как-бы, убит, но что-то продолжает постоянно лезть в инет по 80 и 25 порту на почтовики от имени services.exe
Подскажите как лечить.
Логи прикрепляю.
Заранее спасибо.
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Пришлите C:\WINDOWS\System32\drivers\bab3705.sys согласно Приложения 2 правил
Последний раз редактировалось thyrex; 09.06.2009 в 20:56.
-
-
Junior Member
- Вес репутации
- 55
профиксил.
при попытке отправить в карантин
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\drivers\bab3705.sys)
Карантин с использованием прямого чтения - ошибка
-
Попробуем по другому
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\System32\drivers\bab3705.sys','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 55
Файл сохранён как 090610_130726_virus_4a2f77ce35878.zip
Размер файла 109819
MD5 d7cffc349bbe3785b55646e7359549b5
-
Свеженький bab3705.sys - Rootkit.Win32.KernelBot.go
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\bab3705.sys');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделать новые логи
-
-
Junior Member
- Вес репутации
- 55
выполнил прикрепляю.
а как защитится, чтоб этот Rootkit снова не попал?
Nod молчал по этому поводу.
Просто сейчас как раз буду реанимировать сайты где iframe. И чтоб снова не словить чего...
Заранее спасибо.
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\sdpiosys.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 55
в процессе выполнения скрипта нод ругнулся.
может нужно было отключить?
Код:
10.06.2009 16:23:58 Защита в режиме реального времени файл C:\WINDOWS\system32\Drivers\vde4otk4.sys вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован ND\Denisoff Событие произошло в новом файле, созданном следующим приложением: D:\Install\!AV\avz\avz.exe.
карантин отправлен
Код:
Файл сохранён как 090610_173349_virus_4a2fb63d5be76.zip
Размер файла 111421
MD5 c04707314b5098fc3c0d13488cb6dac7
логи готовлю
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Imau80t');
DeleteService('Msscasncqdb');
DeleteFile('Msscasncqdb.sys');
DeleteFile('Imau80t.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
С помощью IceSword найдите в реестре все строки, в записи которых встречается %fystemRoot%. Замените в эти строках %fystemRoot% на %systemRoot%
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 55
во время выполнения скрипта опять ругнулся нод
улетело 500-600 метров на диске С (может просто подкачки стало больше), искал почему так нашел еще вот такое
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
C:\Documents and Settings\All Users\Application Data\4A14212C9F.sys
+новые логи
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
-
Антивирус на время выполнения скриптов нужно отключать.
Этих файлов в логах нет (скорее всего прошли по базе безопасных)
KGyGaAvL.sys скорее всего от DivX.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Еще раз сделать логи AVZ
-
-
Junior Member
- Вес репутации
- 55
место на диске С вообще ушло в ноль из свободного гектара
C:\WINDOWS\system32\drivers\fidbox.dat на 800 метров появился
логи
Последний раз редактировалось ndfm; 15.09.2010 в 18:06.
-
Fidbox.idx и fidbox.dat - это база проверенных файлов на компе iChecker'ом и iSwift'ом (для ускорения скана) в Касперском
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
понял спс.
насчет остатков я так понимаю уже все чисто?
-
Установите IE8
Установите Adobe Acrobat 9.1 или удалите старый.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
установил и то и то
-
Junior Member
- Вес репутации
- 55
спасибо за помощь
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\bab3705.sys - Rootkit.Win32.KernelBot.go ( BitDefender: Gen:Rootkit.Heur.6033CCACAC )
-