Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   backdoor.trojan (http://forum.oszone.net/showthread.php?t=193552)

hnsk 10-12-2010 09:32 1562384

backdoor.trojan
 
Доброго времени суток.

Появилась в сети зараза аж 99 года.
http://www.symantec.com/security_res...062614-1754-99

Symantec antivirus corporate edition 10 убить его не может.
Зараза плодит на шаре файлики с именами а-ля pornoxxx.exe, winamp.exe, winrar.exe и т.п.
После удаление он создаеться вновь и так до бесконечности.
Востановление системы отключено, автозапуск с флешек запрещен.
Все пользователи включая администраторов работают под учетками users.
avz, hijackthis его не видят. cureit кладет систему в bsod.

если все же логи нужны - выложу.

Drongo 10-12-2010 14:37 1562651

Цитата:

Цитата hnsk
если все же логи нужны - выложу. »

Нужны, выкладывайте, но сначала обновите базы в AVZ.

hnsk 10-12-2010 17:16 1562747

вот логи

iskander-k 10-12-2010 18:46 1562797

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat','');
 QuarantineFile('c:\scripts\dumpsql.bat','');
 QuarantineFile('c:\scripts\move_from_dc_to_sdc.bat','');
 DeleteFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat');
 DeleteFile('c:\scripts\dumpsql.bat');
 DeleteFile('c:\scripts\move_from_dc_to_sdc.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

2
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


3
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

hnsk 12-12-2010 12:03 1563887

Цитата:

Цитата iskander-k
DeleteFile('c:\scripts\dumpsql.bat'); DeleteFile('c:\scripts\move_from_dc_to_sdc.bat'); »

это мои скрипты
а остальное попробую в понедельник.
спасибо.

iskander-k 12-12-2010 16:16 1564079

Цитата:

Цитата hnsk
это мои скрипты
а остальное попробую в понедельник. »

без проблем - исключите их из скрипта

hnsk 13-12-2010 11:18 1564671

iskander-k,
ктстати, первый пункт, это то что осталось от распаковки avptool
Malwarebytes Anti-Malware нашел один инфицированный объект.

чуть позже скину его результаты и результаты gmer'a

avz чуть позже, так как машинку скрипт перезагрузит.
и кстати, на сколько этот скрипт безопасен? так как этот комп - это контроллер домена

hnsk 13-12-2010 16:07 1564881

Вложений: 1
логи hijackthis и mbam

iskander-k 13-12-2010 19:43 1565020

Цитата:

Цитата hnsk
и кстати, на сколько этот скрипт безопасен? »

так как вы исключите ваши скрипты , то остается от avptool - больше ничего скрипт не сделает.
Цитата:

Цитата hnsk
логи hijackthis и mbam »

Ничего -активного заражения не вижу.


Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Как подготовить логи DDS.SCR

hnsk 13-12-2010 19:47 1565025

iskander-k,
В том то и дело. а вирус есть и постоянно плодиться на шаре((

iskander-k 13-12-2010 19:50 1565028

+

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

hnsk 14-12-2010 10:31 1565415

Вложений: 1
пожайлуста

iskander-k 14-12-2010 23:32 1566054

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\tykmjv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\tykmjv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

P.S.И похоже зараза с клиентской машины лезет. Я так считаю.

hnsk 15-12-2010 20:21 1566675

Цитата:

Цитата iskander-k
P.S.И похоже зараза с клиентской машины лезет. Я так считаю. »

Это не исключено. Я бы сказал, что так оно и есть.
Вот только вопрос, как эту заразу теперь вычистить? Следую рецептам симантека, не хрена не получаеться, а мне как на зло до НГ с этим надо разобраться.

щас результат AVZ выложу

iskander-k 15-12-2010 21:34 1566748

Цитата:

Цитата hnsk
Вот только вопрос, как эту заразу теперь вычистить? »

Это надо зараженную машину лечить.


Время: 02:32.

Время: 02:32.
© OSzone.net 2001-