Показано с 1 по 9 из 9.

Бот-нет (заявка № 7799)

  1. #1
    Junior Member Репутация
    Регистрация
    05.02.2007
    Сообщений
    3
    Вес репутации
    40

    Exclamation Бот-нет

    3 Февраля получил спамбот с одного из сайтов рунета (видимо из взломаных Valuhost-овских).
    Руками поубивал что смог (видимо загрузчик, какой-то trojan loader), но бота не достал.
    После коннекта попытка smtp рассылки (блокировал explorer.exe Outpost-ом). Попытка флуда/коннекта на prevedltd.net checkip.dyndns.org и ещё несколько (аналогично запер).
    Несколько болше обычного процессов svchost.
    Бот-сеть долбит меня командой удалённой перезагрузки закрытой Аутпостом (Видимо "за предательство" Ж) пачками по 5-100/мин.

    Пробовал Cure-it, AVZ, Anitvir, webroot spy sweeper, norton, spyware doctor, anti-trojan sheild 2. Все свежие все по делу не помогли.

    Поскольку содержание писем которые бот пытается слать меняется как и цели/интенсивность флуда похоже я не смог перекрыть входящие команды хозяина ботов.

    (А есть в природе шанс найти этого хозяина (у нас СБ с тоски дохнет ) , сорри за оффтоп).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    05.02.2007
    Сообщений
    3
    Вес репутации
    40
    Да и ещё в есть некий процесс (Виден в аутлуке, process exp итп) с именем n/a (вырубить себя не даёт, понизить приоритет тоже).

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    выполните следующий скрипт в AVZ, потом пришлите созданный карантин
    Код:
    begin
     QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
     QuarantineFile('C:\WINDOWS\Inf\msio32.dll','');
     DeleteFile('C:\WINDOWS\Inf\msio32.dll');
     DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
    end.

  5. #4
    Geser
    Guest
    c:\windows\explorer.exe Патченый

  6. #5
    Junior Member Репутация
    Регистрация
    05.02.2007
    Сообщений
    3
    Вес репутации
    40
    Полегчало пока, спасибо. Что с c:\windows\explorer.exe делать? Перезаписать новым с СД-диска?
    И есть ли возможность прочитать про функции этой конкретной "вредоносной программы для ЭВМ" или название узнать? Хотелось бы понять нужно ли срочно менять все пароли на удалённые сервисы и т.п.

  7. #6
    Geser
    Guest
    Перезаписать новым

  8. #7
    Geser
    Guest
    И убедиться что система не восстановила патченный из кеша

  9. #8
    Geser
    Guest
    Hello,

    msio32.dll - SpamTool.Win32.Agent.u

    New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

    Please quote all when answering.

    --
    Best regards, Alexander Romanenko
    Virus analyst, Kaspersky Lab.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\inf\\msio32.dll - Trojan-Proxy.Win32.Pixoliz.ia (DrWEB: Trojan.Packed.76)


  • Уважаемый(ая) mtgcollect, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00173 seconds with 16 queries