backdoor.trojan - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - backdoor.trojan (http://forum.oszone.net/showthread.php?t=193552)

Доброго времени суток.

Появилась в сети зараза аж 99 года.
http://www.symantec.com/security_res...062614-1754-99

Symantec antivirus corporate edition 10 убить его не может.
Зараза плодит на шаре файлики с именами а-ля pornoxxx.exe, winamp.exe, winrar.exe и т.п.
После удаление он создаеться вновь и так до бесконечности.
Востановление системы отключено, автозапуск с флешек запрещен.
Все пользователи включая администраторов работают под учетками users.
avz, hijackthis его не видят. cureit кладет систему в bsod.

если все же логи нужны - выложу.

Цитата:

Цитата hnsk

если все же логи нужны - выложу. »

Нужны, выкладывайте, но сначала обновите базы в AVZ.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat','');

 QuarantineFile('c:\scripts\dumpsql.bat','');

 QuarantineFile('c:\scripts\move_from_dc_to_sdc.bat','');

 DeleteFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat');

 DeleteFile('c:\scripts\dumpsql.bat');

 DeleteFile('c:\scripts\move_from_dc_to_sdc.bat');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме).

, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

2
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

3
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Цитата:

Цитата iskander-k

DeleteFile('c:\scripts\dumpsql.bat'); DeleteFile('c:\scripts\move_from_dc_to_sdc.bat'); »

это мои скрипты
а остальное попробую в понедельник.
спасибо.

Цитата:

Цитата hnsk

это мои скрипты
а остальное попробую в понедельник. »

без проблем - исключите их из скрипта

iskander-k,
ктстати, первый пункт, это то что осталось от распаковки avptool
Malwarebytes Anti-Malware нашел один инфицированный объект.

чуть позже скину его результаты и результаты gmer'a

avz чуть позже, так как машинку скрипт перезагрузит.
и кстати, на сколько этот скрипт безопасен? так как этот комп - это контроллер домена

логи hijackthis и mbam

Цитата:

Цитата hnsk

и кстати, на сколько этот скрипт безопасен? »

так как вы исключите ваши скрипты , то остается от avptool - больше ничего скрипт не сделает.

Цитата:

Цитата hnsk

логи hijackthis и mbam »

Ничего -активного заражения не вижу.

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Как подготовить логи DDS.SCR

iskander-k,
В том то и дело. а вирус есть и постоянно плодиться на шаре((

+

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

пожайлуста

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\drivers\tykmjv.sys','');

DeleteFile('C:\WINDOWS\system32\drivers\tykmjv.sys');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

P.S.И похоже зараза с клиентской машины лезет. Я так считаю.

Цитата:

Цитата iskander-k

P.S.И похоже зараза с клиентской машины лезет. Я так считаю. »

Это не исключено. Я бы сказал, что так оно и есть.
Вот только вопрос, как эту заразу теперь вычистить? Следую рецептам симантека, не хрена не получаеться, а мне как на зло до НГ с этим надо разобраться.

щас результат AVZ выложу

Цитата:

Цитата hnsk

Вот только вопрос, как эту заразу теперь вычистить? »

Это надо зараженную машину лечить.