Перейти к содержимому


- - - - -

Аццкий рассадник


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 14

#1 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Сентябрь 2007 - 17:14

Сегодня попалась тачка (см. лог). Полный набор удовольствий - 6 руткитов и 25+ троянов... )))

Цитата

begin
DeleteFile('c:\windows\system32\actcontroller.exe');
DeleteFile('c:\windows\system32\kernelwind32.exe');
DeleteFile('c:\windows\perfmon.exe');
DeleteFile('c:\windows\spooldr.exe');
DeleteFile('c:\windows\system32\vedxg6ame4.exe');
DeleteFile('c:\program files\winable\winable.exe');
DeleteFile('c:\windows\system32\wininet.exe');
DeleteFile('c:\docume~1\ХОЗЯИН\locals~1\temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\DOCUME~1\ХОЗЯИН\LOCALS~1\Temp\winlogon.exe');
DeleteFile('c:\windows\system32\msvc32.dll');
DeleteFile('C:\WINDOWS\System32\svshost.dll');
DeleteFile('C:\WINDOWS\System32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\System32\dllh8jkd1q7.exe');
DeleteFile('C:\WINDOWS\System32\dllh8jkd1q6.exe');
DeleteFile('C:\WINDOWS\System32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\System32\smsibaib.dll');
DeleteFile('\??\C:\WINDOWS\System32\DefLib.sys');
DeleteFile('\??\C:\WINDOWS\system32\drivers\kcp.sys');

DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
DeleteFile('Xjcc22.sys');
DeleteFile('\SystemRoot\System32\DRIVERS\tcpip.sys');
DeleteFile('C:\WINDOWS\System32\icf.exe');
DeleteFile('\SystemRoot\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\retadpu27.exe');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\RuPass\RuPass.dll');
DeleteFile('C:\WINDOWS\System32\ipv6monk.dll');
end.

Цитата

\SystemRoot\System32\DRIVERS\tcpip.sys
- системный драйвер тоже заражен и запускает при каждом старте системы компоненты червя zhelatin -

Цитата

\SystemRoot\SYSTEM32\spooldr.sys
c:\windows\spooldr.exe

Самый трудноубиваемый гад в логе - это Xjcc22.sys  - rootkit.agent.ea (по касперскому) или trojan.srizbi (симантек)

Вот про него:

Цитата

Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в \WINDOWS\systen32\drivers с произвольным именем (3-4 буквы и 2 цифры). Троян маскирует свой ключ автозагрузки перехватом функций с помощью модификации машинного кода ядра, а так же маскирует себя на диске перехватом IRP-обработчиков драйвера файловой системы. Драйвер загружается непосредственно после ядра и его зависимостей.
Перехват в логах AVZ выглядит так:
Код:

Цитата

Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo.Xjcc22.sys jmp F72B3797
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo.Xjcc22.sys jmp F72B3503
Бутклиннером лучше не пробовать удалять, т.к. он все-равно не должен удалить (драйвер вируса грузится раньше драйвера AVZ), да и высока вероятность получения BSOD при загрузки системы даже при загрузки в безопасном режиме (у меня стабильно).
Скрипт удаления с помощью AVZ такой:
Код:
begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xjcc22', 'Start');
 RebootWindows(true);

Сейчас распространены стали "кастрированные" версии Srizbi в плане защиты.
Терь некоторые варианты хучат только Ntfs IRP_MJ_DIRECTORY_CONTROL. Поэтому их можно просто копировать в карантин AVZ-ом - главное полный путь к файлу прописать.
А те модификации, что первыми были, или та, что в тесте на активное заражение-2 помимо Ntfs IRP_MJ_DIRECTORY_CONTROL еще и Ntfs IRP_MJ_CREATE хучили

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   106,92К   11 Количество загрузок:


#2 oip

oip

    НЕ работаю в БИГ Телекоме

  • Members
  • PipPipPipPipPipPipPipPip
  • 11 731 сообщений
  • Пол:Мужчина
  • Город:Химки

Отправлено 24 Сентябрь 2007 - 17:26

Цитата

Она: у меня тут как-то Доктор Веб нашел 200 троянов... Ну что же, я все 200 буду удалять?
Он: ??
Она: ну я взяла и удалила Доктор Веб.
http://bash.org.ru/quote/392172

#3 Netto

Netto

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 677 сообщений
  • Пол:Не определился
  • Город:Старые

Отправлено 24 Сентябрь 2007 - 19:43

Просмотр сообщенияXL (24.09.2007, 18:14) писал:

Сегодня попалась тачка...
Это в нашей сети такие машины водяццо?

#4 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Сентябрь 2007 - 22:12

Не только в нашей - такие машины сейчас встречаются везде. В данном случае жо была неминуема из-за того, что:
1. Была установлена винда с SP1, которая не обновлялась никогда.
2. Пользователи наивно использовали Internet Explorer, просто исполненный уязвимостями.
3. Был установлен Антивирус Касперского четвертой (!) версии. Он же первым и погиб смертью храбрых от пришедшего в систему worm.zhelatin, который снес с диска сервис антивируса...

Тут даже перед Mpack проблема выбора не стояла - через какую же дыру поиметь пользователя, зашедшего на зараженный сайт. Я насчитал в системе 7 троянских загрузчиков, которые впоследствии всю эту дрянь в систему и притащили.

Что же заставило пользователя забить тревогу? Это был даже не огромный исходящий трафик, которого попросту не заметили. И даже не подозрительно пропавший из трея значек от антивируса. Любимый интернет эксплорер перестал работать, вот!  :blush: Он предательски закрывался сразу же после открытия  :)

#5 Netto

Netto

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 677 сообщений
  • Пол:Не определился
  • Город:Старые

Отправлено 25 Сентябрь 2007 - 20:39

Просмотр сообщенияXL (24.09.2007, 23:12) писал:

...интернет эксплорер перестал работать, вот!  :lol:
Да уж. Баг серьёзнее некуда: "картинки не грузяцо" :lol: История серфинга сохранилась какая нибудь? Откуда столько всего притащили? Порно сайты поди? Надеюсь лечить не стал ничего, всё под нож? Или в целях эксперимента на живучесть... лечить?

#6 x0r

x0r

    Живёт на форуме

  • Games Moderators
  • PipPipPipPipPipPipPip
  • 1 465 сообщений
  • Город:new();
  • Интересы:сетевая безопасность, UNIX, кодинг<br /><br />Favorite bands: Dragonforce, Dragonland, Kamelot, Sonata Arctica, KISS, Manowar, Avantasia, Stratovarius

Отправлено 25 Сентябрь 2007 - 22:25

я думаю, что с таким набором вирей пациент скорее мерт чем жив.

#7 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 25 Сентябрь 2007 - 22:38

Просмотр сообщенияNetto (25.09.2007, 21:39) писал:

Откуда столько всего притащили? Порно сайты поди? Надеюсь лечить не стал ничего, всё под нож? Или в целях эксперимента на живучесть... лечить?
Со вполне безобидных сайтов притащили, куда разместили вредоносный iframe по вине админа-рас....сеянного. mpack ныне популярен. и не только он. google -> mpack

Я и лечить не стал? Вы меня плохо знаете...  :) 5-7 BSOD'ов по ходу, часок мозгового штурма и трояны отправились мимо корзины. Долого с rootkit.agent.ea расправлялся, остальное как-то проще далось. После лечения снес IE из системы, приучил юзверей к Opera и включил обновление винды, ну и антивирус современный поставил. Самое интересное - это послеоперационный сигнатурный скан такой тачки. Что-то из уже неактивного нашла AVZ, что-то новая cureit, ну а что-то NOD32 под конец. Бумажные формальности, пожелание удачи на прощанье, занавес!

Из обнаруженного по касперу:

Цитата

обнаружено: троянская программа Trojan-Spy.Win32.BZub.ih Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00003.dta
обнаружено: троянская программа Trojan.Win32.Agent.bfd Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00004.dta//PE_Patch.UPX//UPX
обнаружено: троянская программа Rootkit.Win32.Agent.ea Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00005.dta
обнаружено: вирус Email-Worm.Win32.Zhelatin.it Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00006.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Agent.bnm Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00008.dta
обнаружено: троянская программа Trojan.Win32.Agent.asu Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00009.dta
обнаружено: троянская программа Backdoor.Win32.Small.ta Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00010.dta
обнаружено: троянская программа Trojan-Spy.Win32.Goldun.rq Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00011.dta
обнаружено: троянская программа Trojan-Proxy.Win32.Xorpix.bk Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00012.dta//UPack
обнаружено: троянская программа Trojan-Proxy.Win32.Small.fz Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00013.dta
обнаружено: троянская программа Backdoor.Win32.Small.ta Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00014.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Adload.lj Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00015.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Agent.der Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00016.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Tibs.np Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00017.dta
обнаружено: вирус Email-Worm.Win32.Zhelatin.jb Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00018.dta
обнаружено: троянская программа Trojan.Win32.Small.qh Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00019.dta
обнаружено: вирус Email-Worm.Win32.Zhelatin.in Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00020.dta
обнаружено: вирус Email-Worm.Win32.Mydoom.bj Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00021.dta//PE_Patch.UPX//UPX
обнаружено: вирус Email-Worm.Win32.Zhelatin.ix Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00022.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Agent.bil Файл: G:\Antivirus\IQ_antivir\AVZ\avz\Quarantine\2007-09-24\avz00023.dta


#8 bejen

bejen

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 6 560 сообщений
  • Пол:Мужчина
  • Город:Lineage 2
  • Интересы:всё то, что интересно...

Отправлено 26 Сентябрь 2007 - 16:49

Не проще сделать полный формат всего харда, или купить новый? =D

#9 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 26 Сентябрь 2007 - 20:19

Не проще - на это нужно 1.5+ часа, а на удаление всех зверей и восстановление системы 15-60 минут в среднем.

#10 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 01 Октябрь 2007 - 22:49

Комп номер два:

Цитата

begin
DeleteFile('c:\windows\system32\aspimgr.exe');
DeleteFile('c:\windows\system32\dllh8jkd1q6.exe');
DeleteFile('c:\windows\system32\dllh8jkd1q7.exe');
DeleteFile('c:\windows\retadpu27.exe');
DeleteFile('c:\windows\system32\kernelwind32.exe');
DeleteFile('c:\windows\system32\spoolsvv.exe');
DeleteFile('c:\windows\system32\vedxg6ame4.exe');
DeleteFile('c:\program files\winable\winable.exe');
DeleteFile('c:\windows\temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\datim.dll');
DeleteFile('C:\WINDOWS\system32\svcrt02.dll');
DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
DeleteFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys');
DeleteFile('\??\C:\WINDOWS\system32\kernelw.sys');
DeleteFile('\??\C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys');
DeleteFile('Ywnt62.sys');

DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
end.

Руткиты отметил красным. В системе стоял необновляемый NOD32 v. 2.5

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   73,38К   6 Количество загрузок:


#11 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Октябрь 2007 - 22:21

ЫЫЫ... еще  один интересный случай. больше троянов, чем на этой машине, я нигде не встречал за этот год. в лог попало только активное, но еще больше было неактивного, разбросанного по всему диску и временным папкам. установленный уже после удаления активных зверьков NOD32, возрадовался изобилию работы. из активных явно детектировались каспером:

Цитата

обнаружено: троянская программа Trojan-Proxy.Win32.Dlena.cq Файл: C:\Users\XL\Desktop\2007-10-24\avz00001.dta
обнаружено: троянская программа Rootkit.Win32.Agent.eb Файл: C:\Users\XL\Desktop\2007-10-24\avz00002.dta
обнаружено: троянская программа Trojan.Win32.Agent.bow Файл: C:\Users\XL\Desktop\2007-10-24\avz00003.dta//PE_Patch.UPX//UPX
обнаружено: троянская программа Trojan.Win32.Patched.m Файл: C:\Users\XL\Desktop\2007-10-24\avz00004.dta
обнаружено: троянская программа Trojan.Win32.Pakes.sb Файл: C:\Users\XL\Desktop\2007-10-24_\avz00001.dta
обнаружено: вирус Email-Worm.Win32.Agent.l Файл: C:\Users\XL\Desktop\2007-10-24_\avz00002.dta
обнаружено: троянская программа Rootkit.Win32.Agent.jp Файл: C:\Users\XL\Desktop\2007-10-24_\avz00003.dta//PE_Patch
обнаружено: троянская программа Backdoor.Win32.Agent.fo Файл: C:\Users\XL\Desktop\2007-10-24_\avz00004.dta
обнаружено: вирус Packed.Win32.Tibs.ap Файл: C:\Users\XL\Desktop\2007-10-24_\avz00005.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Agent.dve Файл: C:\Users\XL\Desktop\2007-10-24_\avz00006.dta//PE_Patch.Upolyx//PE_Patch.UPX//UPX
обнаружено: вирус Email-Worm.Win32.Warezov.nd Файл: C:\Users\XL\Desktop\2007-10-24_\avz00008.dta
обнаружено: троянская программа Trojan-Proxy.Win32.Agent.pt Файл: C:\Users\XL\Desktop\2007-10-24_\avz00009.dta
обнаружено: троянская программа Backdoor.Win32.Small.ls Файл: C:\Users\XL\Desktop\2007-10-24_\avz00010.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nd Файл: C:\Users\XL\Desktop\2007-10-24_\avz00011.dta
обнаружено: вирус Email-Worm.Win32.Zhelatin.ku Файл: C:\Users\XL\Desktop\2007-10-24_\avz00012.dta
обнаружено: вирус Email-Worm.Win32.Warezov.ra Файл: C:\Users\XL\Desktop\2007-10-24_\avz00013.dta
обнаружено: троянская программа Trojan-Downloader.Win32.Tiny.fw Файл: C:\Users\XL\Desktop\2007-10-24_\avz00014.dta//UPack
обнаружено: вирус Email-Worm.Win32.Zhelatin.kh Файл: C:\Users\XL\Desktop\2007-10-24_\avz00015.dta
обнаружено: троянская программа Trojan-Proxy.Win32.Agent.lb Файл: C:\Users\XL\Desktop\2007-10-24_\avz00016.dta//PE_Patch.UPX//UPX
обнаружено: вирус Email-Worm.Win32.Warezov.lb Файл: C:\Users\XL\Desktop\2007-10-24_\avz00017.dta
обнаружено: вирус Email-Worm.Win32.Warezov.lk Файл: C:\Users\XL\Desktop\2007-10-24_\avz00018.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nm Файл: C:\Users\XL\Desktop\2007-10-24_\avz00019.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nm Файл: C:\Users\XL\Desktop\2007-10-24_\avz00020.dta
обнаружено: вирус Email-Worm.Win32.Warezov.jp Файл: C:\Users\XL\Desktop\2007-10-24_\avz00021.dta
обнаружено: вирус Packed.Win32.Tibs.bv Файл: C:\Users\XL\Desktop\2007-10-24_\avz00022.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nm Файл: C:\Users\XL\Desktop\2007-10-24_\avz00023.dta
обнаружено: вирус Email-Worm.Win32.Warezov.mg Файл: C:\Users\XL\Desktop\2007-10-24_\avz00024.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nm Файл: C:\Users\XL\Desktop\2007-10-24_\avz00025.dta
обнаружено: вирус Email-Worm.Win32.Warezov.mg Файл: C:\Users\XL\Desktop\2007-10-24_\avz00026.dta
обнаружено: вирус Email-Worm.Win32.Warezov.la Файл: C:\Users\XL\Desktop\2007-10-24_\avz00027.dta
обнаружено: вирус Email-Worm.Win32.Warezov.mo Файл: C:\Users\XL\Desktop\2007-10-24_\avz00030.dta
обнаружено: вирус Email-Worm.Win32.Warezov.hd Файл: C:\Users\XL\Desktop\2007-10-24_\avz00031.dta
обнаружено: вирус Email-Worm.Win32.Warezov.mg Файл: C:\Users\XL\Desktop\2007-10-24_\avz00032.dta
обнаружено: вирус Email-Worm.Win32.Warezov.hd Файл: C:\Users\XL\Desktop\2007-10-24_\avz00033.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nm Файл: C:\Users\XL\Desktop\2007-10-24_\avz00034.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nm Файл: C:\Users\XL\Desktop\2007-10-24_\avz00035.dta
обнаружено: вирус Email-Worm.Win32.Warezov.nm Файл: C:\Users\XL\Desktop\2007-10-24_\avz00036.dta
обнаружено: вирус Email-Worm.Win32.Warezov.md Файл: C:\Users\XL\Desktop\2007-10-24_\avz00037.dta//PE_Patch//UPack
обнаружено: вирус Email-Worm.Win32.Warezov.mg Файл: C:\Users\XL\Desktop\2007-10-24_\avz00038.dta//PE_Patch//UPack
обнаружено: троянская программа Backdoor.Win32.Agent.byt Файл: C:\Users\XL\Desktop\2007-10-24_\avz00039.dta
обнаружено: вирус Email-Worm.Win32.Warezov.ra Файл: C:\Users\XL\Desktop\2007-10-24_\avz00040.dta//PE_Patch.UPX//UPX
обнаружено: вирус Email-Worm.Win32.Warezov.md Файл: C:\Users\XL\Desktop\2007-10-24_\avz00041.dta//PE_Patch//UPack
обнаружено: троянская программа Trojan-Proxy.Win32.Xorpix.bv Файл: C:\Users\XL\Desktop\2007-10-24_\avz00042.dta//UPack
обнаружено: троянская программа Trojan-Proxy.Win32.Xorpix.bq Файл: C:\Users\XL\Desktop\2007-10-24_\avz00043.dta//UPack
обнаружено: троянская программа Trojan-Downloader.Win32.Small.ert Файл: E:\виры\msntrzwe.exe
обнаружено: вирус Packed.Win32.PolyCrypt.d Файл: E:\виры\msntudrs.exe
обнаружено: троянская программа Trojan.Win32.LipGame.bj Файл: E:\виры\internt.exe
обнаружено: вирус Email-Worm.Win32.Warezov.nh Файл: E:\виры\ccsrsc.exe//PE_Patch.UPX//UPX
обнаружено: вирус Email-Worm.Win32.Zhelatin.ki Файл: E:\виры\spooldr.exe
самая большая проблема ждала выплыла под конец, когда пришлось заменять зараженный winlogon.exe, tcpip.sys, iexplore.exe....

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   196,25К   9 Количество загрузок:


#12 Pikenish

Pikenish

    Завсегдатай

  • Members
  • PipPipPipPipPip
  • 595 сообщений
  • Пол:Женщина
  • Город:Химки

Отправлено 07 Январь 2008 - 13:54

Друг обратился за помощью - при  включении комп тормозил настолько, что любой файл открывался минут 20 :lol: в результате лечения еще до открытия виндоуза - свежеприобретенной пандой  - 283 каких то вирсов в основном червяков вот:
Изображение

Сообщение отредактировал Pikenish: 07 Январь 2008 - 13:55


#13 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Январь 2008 - 14:16

Да, brontok в последнее время на компьютерах в сети часто встречается. Хотя пик его распространения пришелся на прошлый год.
Это червь, который копирует себя на все локальные и съемные диски компютера в виде файла с расширением exe и именем папки, в которую он кладет этот файл. В памяти присутствует в виде 3-4 процессов с именами типа winlogon.exe, svchost.exe и т.п. (естественно, ложными), которые расположены в папке \documents and settings\....
Зверь выставляет ряд ограничений через политики, в результате которых пользователь ограничивыается в возможностях при работе с операционной системой. Блокируется изменение свойств папки и кое-что еще.
Также червь способен завершать работу некоторых антивирусных программ. Некоторые версии способны размножаться через сеть, эксплуатируя уязвимость в LSASS (2004 год) подобно sasser'у.

#14 arsenchik

arsenchik

    Новичок

  • Members
  • Pip
  • 1 сообщений

Отправлено 18 Январь 2008 - 22:02

Просмотр сообщенияPikenish (7.01.2008, 15:54) писал:

Друг обратился за помощью - при  включении комп тормозил настолько, что любой файл открывался минут 20 :D в результате лечения еще до открытия виндоуза - свежеприобретенной пандой  - 283 каких то вирсов в основном червяков вот:
блин хелп) скажи какая это версия панды? а то скачал панду 2008 3.00 дак он сам че то там удаляет, а червяк именно этот!!! бронток

Сообщение отредактировал arsenchik: 18 Январь 2008 - 22:02


#15 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Январь 2008 - 14:43

Этот червяк себя копирует в каждую папку на диске, но надо понимать, что там лежит всего лишь интсаллятор, а не активная часть зверя. Главное - убить активные модули из автозапуска и прочих мест, тогда можно удалять инсталляторы любым антивирусом, у которого в базах есть сигнатура на инсталлятор.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных