Взломали аську одного из контактов моего сотрудника. Прислали ссылку ( Trojan.MulDrop.3990), естественно, он не удержался, и нажал (соответствующая работа проведена, больше не будет...), файлик был благополучно прибит из процессов (однако попытался что-то отослать - http://217.160.73.73/llgs/mail5.php), поиск стандартными методами (autoruns от SysInternal, поиск по знакомым ключикам реестра) ничего не дал. Решил доверить дело профессионалам...
Последний раз редактировалось AVE; 16.09.2007 в 15:03.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
включите противодействие руткитам, поищите из AVZ и пришлите файлики:Сообщение от AVE
SMAgent.exe
c:\winnt\system32\msnw32.dll
Противодействие руткитам включил, посканировал, с логином администратора AVZ ничего не нашел, с логином сотрудника (установлены права пользователя) режим противодействия руткитам не срабатывает, что вполне логично. Следуя действиям из "Приложения 2" правил, ввел названия именно так, как предложено Вами (SMAgent без путей, msnw32.dll с полным путем), AVZ ничего в карантин не положил. Однако поиск по диску файла SMAgent увенчался успехом, это "SoundMAX service agent component", прислал его руками, предварительно заархивировав (т.к. AVZ не смог), однако остались подозрения, что их может быть несколько, чуть позже, когда сотрудник закончит работу, выдерну винт и поищу эти файлы поиском по винту с другого компьютера (думаю, что тут уж руткит не справится
Снял галку с msnw32.dll в ShellObjectDelayLoad с помощью AVZ, после перезагрузки галка не появилась, чуть позднее прогоню все тесты еще раз и перевыложу логи, если это необходимо.
Вот результат загрузки файла:
P.S. Спасибо за оперативный ответ.Код:Файл сохранён как SMAgent_44c85b4933fb6.zip Размер файла 13765 MD5 d7f1144c3ef5cea1f4d4267e19dff0dd
Скорее всего это были пароли. Так что этому пользователю следует поменять все пароли (ICQ, почта и т.д.)
да, все правильно. я тоже думаю, что их может быть парочка.однако остались подозрения, что их может быть несколько, чуть позже, когда сотрудник закончит работу, выдерну винт и поищу эти файлы поиском по винту с другого компьютера (думаю, что тут уж руткит не справится
а проявления похожи на спамерский бот.
Выдернул винт, поглядел, вроде все нормально. SMAgent оказался безопасной вещью в 1 экземпляре - это компонент драйвера для встроенной звуковухи, можете заносить в безопасные. msnw32.dll так и не нашлась, но дальнейших появлений в логах не заметил. На каталог /miranda/ и его внутренности можно не обращать внимания, это клиент ICQ. Могу выслать файлы для отметки как безопасные по вашему требованию. Если все нормально, то топик можно и закрывать, большое спасибо за оперативность.
P.S. Да, конечно же, все пароли были заменены еще на стадии первичной проверки.
Последний раз редактировалось AVE; 16.09.2007 в 15:03.
Уважаемый(ая) AVE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
