Backdoor.Troyan

**z'oz'a** · 16 июня, 2008

Доброые люди! Просветите несведущего! NOD32, SuperAntiSpyware и SDFix обнаруживают удаляют, но появляются новые зараженные файлы.

Logfile of HijackThis v1.99.1

Scan saved at 18:48:42, on 16.06.2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

D:\инсталяционные программы\nod32krn.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Download Master\dmaster.exe

D:\инсталяционные программы\nod32kui.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Opera7\Opera.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\wuauclt.exe

C:\WINNT\system32\cmd.exe

D:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKLM\..\Run: [nod32kui] "D:\инсталяционные программы\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKCU\..\Run: [internat.exe] internat.exe

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{80AD1252-8972-4916-B9D2-2036B9E63DB1}: NameServer = 195.5.46.12 195.5.46.11

O20 - Winlogon Notify: !SASWinLogon - D:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe

O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe

O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\инсталяционные программы\nod32krn.exe

O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe

O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

**Matias** · 16 июня, 2008

1. Версия HJT старая, скачайте последнюю

2. Перечитайте правила оформления запроса, нужны логи AVZ

**z'oz'a** · 22 июня, 2008

Прошу помощи в борьбе с вредителями компьютерного хозяйства! Трояны и вирусы плодятся безсовестно-быстро! NOD32 и SuperAntiSpyware не помогают. Высылаю логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

**akoK** · 22 июня, 2008

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\Program Files\SUPERAntiSpyware\SASKUTIL.sys','');QuarantineFile('C:\DOCUME~1\1440~1\LOCALS~1\Temp\catchme.sys','');QuarantineFile('c:\winnt\system32\algs.exe','');DeleteFile('c:\winnt\system32\algs.exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

Обновить систему тоже не мешало.

**akoK** · 22 июня, 2008

Карантин получил

c:\winnt\system32\algs.exe - Net-Worm.Win32.Kolabc.bsb

Повторите логи.

Изменено 22 июня, 2008 пользователем akoK

**z'oz'a** · 22 июня, 2008

Спасибо, за помощь, но NOD32 выловил после выполненных скриптов ещё:

C:\WINNT\system32\tjyyhl.exe модифицированный Win32/Poebot н - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

C:\WINNT\system32\mmlyzm.exe Win32/Poebot троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

C:\WINNT\system32\dmttv.exe Win32/Poebot.NBF троян NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

**akoK** · 22 июня, 2008

Маскировки уже нет...вот и ловить начал.

**z'oz'a** · 27 июня, 2008

virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log

Господа, трафик забит -- невозможно всунуться-- наверно трояны работают. Я на DialUp. А NOD и до скриптов вылавливал, в основном Poebot.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

**akoK** · 28 июня, 2008

А я писал повторите логи :blushing:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('c:\winnt\system32\algs.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи для контроля.

Не забудьте отключить антивирус перед выполнением скрипта.

Изменено 28 июня, 2008 пользователем akoK

**z'oz'a** · 29 июня, 2008

:bye1: Странно, но NOD32 снова ловит нечисть, после выполненных указаний:

файл C:\WINNT\system32\TFTP856 Win32/Rbot троян. Событие в новом файле, созданном приложением C:\WINNT\system32\tftp.exe.

файл C:\WINNT\system32\x.exe модифицированный IRC/SdBot троян. Событие во вновь созданном файле. :blink:

**z'oz'a** · 29 июня, 2008

Спасите, кто может!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!:

файл C:\WINNT\system32\senzcwfg.exe Win32/Poebot троян NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

файл C:\WINNT\system32\ytno.exe Win32/Virut.E вирус NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

файл C:\WINNT\system32\qiswrmjb.exe Win32/Virut.Q NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

файл C:\WINNT\system32\rjxt.exe Win32/Poebot.NBF троян NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

**Matias** · 29 июня, 2008

Где же новые логи?

**akoK** · 29 июня, 2008

Вы CureIT проверяли?

Нужен еще в нагрузку лог getsysteminfo

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINNT\system32\auemjc.exe','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Посмотрим, с чем это едят

уфф куда смотрели мои глаза :g:

Лечение файлового вируса.

Описание семейства

Изменено 29 июня, 2008 пользователем akoK

**z'oz'a** · 30 июня, 2008

CureIT нашёл и вылечил несколько файлов ещё после первого вашего ответа. Правда, скачана утилита на зараженом компе. Скоро пролечу ещё раз, но уже здоровой CureIT, с диска.

Высылаю лог getsisteminfo. :smiles20(8): Прошу не пугаться такому древнему железу.

Скрипты выполнил, но зараженные *exe появляться не перестали, а трафик забит-- еле всовуюсь!

Спасибо за статейки в ссылках-- многое стал понимать. Почему же NOD определяет причину в Poebot?

Спасибо, что не бросили в беде!!! :bye1:

Архив выслал по указанному адресу.sysinfo.txt

sysinfo.txt

**akoK** · 30 июня, 2008

C:\WINNT\system32\auemjc.exe - Trojan-Downloader.Win32.Zlob.mtu

Нашел описание похожей версии

Trojan-Downloader.Win32.Zlob.jj

Можно еще попробывать пройтись после CureIT! AVPTool.

Описание AVPTool

Войти

Backdoor.Troyan

Рекомендуемые сообщения

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн