Jump to content
СофтФорум - всё о компьютерах и не только

Backdoor.Troyan

z'oz'a
 Share

Recommended Posts

z'oz'a

z'oz'a

Posted
Posted

Доброые люди! Просветите несведущего! NOD32, SuperAntiSpyware и SDFix обнаруживают удаляют, но появляются новые зараженные файлы.

Logfile of HijackThis v1.99.1

Scan saved at 18:48:42, on 16.06.2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

D:\инсталяционные программы\nod32krn.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Download Master\dmaster.exe

D:\инсталяционные программы\nod32kui.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Opera7\Opera.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\wuauclt.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\cmd.exe

D:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKLM\..\Run: [nod32kui] "D:\инсталяционные программы\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKCU\..\Run: [internat.exe] internat.exe

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{80AD1252-8972-4916-B9D2-2036B9E63DB1}: NameServer = 195.5.46.12 195.5.46.11

O20 - Winlogon Notify: !SASWinLogon - D:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe

O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe

O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\инсталяционные программы\nod32krn.exe

O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe

O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Клиент отслеживания изменившихся связей (TrkWks) - Корпорация Майкрософт - C:\WINNT\system32\services.exe

O23 - Service: Служба времени Windows (W32Time) - Корпорация Майкрософт - C:\WINNT\System32\services.exe

O23 - Service: Инструментарий управления Windows (WinMgmt) - Корпорация Майкрософт - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Расширения драйвера оснастки управления Windows (Wmi) - Корпорация Майкрософт - C:\WINNT\system32\Services.exe

Link to comment
Share on other sites
z'oz'a

z'oz'a

Posted
  • Author
Posted

Прошу помощи в борьбе с вредителями компьютерного хозяйства! Трояны и вирусы плодятся безсовестно-быстро! NOD32 и SuperAntiSpyware не помогают. Высылаю логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Link to comment
Share on other sites
akoK

akoK

Posted
Posted

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\Program Files\SUPERAntiSpyware\SASKUTIL.sys','');QuarantineFile('C:\DOCUME~1\1440~1\LOCALS~1\Temp\catchme.sys','');QuarantineFile('c:\winnt\system32\algs.exe','');DeleteFile('c:\winnt\system32\algs.exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

Обновить систему тоже не мешало.

Link to comment
Share on other sites
akoK

akoK

Posted
Posted (edited)

Карантин получил

c:\winnt\system32\algs.exe - Net-Worm.Win32.Kolabc.bsb

Повторите логи.

Edited by akoK
Link to comment
Share on other sites
z'oz'a

z'oz'a

Posted
  • Author
Posted

Спасибо, за помощь, но NOD32 выловил после выполненных скриптов ещё:

C:\WINNT\system32\tjyyhl.exe модифицированный Win32/Poebot н - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

C:\WINNT\system32\mmlyzm.exe Win32/Poebot троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

C:\WINNT\system32\dmttv.exe Win32/Poebot.NBF троян NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

Link to comment
Share on other sites
z'oz'a

z'oz'a

Posted
  • Author
Posted

virusinfo_syscure.zipvirusinfo_syscheck.zip hijackthis.log

Господа, трафик забит -- невозможно всунуться-- наверно трояны работают. Я на DialUp. А NOD и до скриптов вылавливал, в основном Poebot.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Link to comment
Share on other sites
akoK

akoK

Posted
Posted (edited)

А я писал повторите логи :blushing:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('c:\winnt\system32\algs.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи для контроля.

Не забудьте отключить антивирус перед выполнением скрипта.

Edited by akoK
Link to comment
Share on other sites
z'oz'a

z'oz'a

Posted
  • Author
Posted

:bye1: Странно, но NOD32 снова ловит нечисть, после выполненных указаний:

файл C:\WINNT\system32\TFTP856 Win32/Rbot троян. Событие в новом файле, созданном приложением C:\WINNT\system32\tftp.exe.

файл C:\WINNT\system32\x.exe модифицированный IRC/SdBot троян. Событие во вновь созданном файле. :blink:

Link to comment
Share on other sites
z'oz'a

z'oz'a

Posted
  • Author
Posted

Спасите, кто может!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!:

файл C:\WINNT\system32\senzcwfg.exe Win32/Poebot троян NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

файл C:\WINNT\system32\ytno.exe Win32/Virut.E вирус NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

файл C:\WINNT\system32\qiswrmjb.exe Win32/Virut.Q NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

файл C:\WINNT\system32\rjxt.exe Win32/Poebot.NBF троян NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINNT\system32\svchost.exe.

Link to comment
Share on other sites
akoK

akoK

Posted
Posted (edited)

Вы CureIT проверяли?

Нужен еще в нагрузку лог getsysteminfo

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINNT\system32\auemjc.exe','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Посмотрим, с чем это едят

уфф куда смотрели мои глаза :g:

Лечение файлового вируса.

Описание семейства

Edited by akoK
Link to comment
Share on other sites
z'oz'a

z'oz'a

Posted
  • Author
Posted

CureIT нашёл и вылечил несколько файлов ещё после первого вашего ответа. Правда, скачана утилита на зараженом компе. Скоро пролечу ещё раз, но уже здоровой CureIT, с диска.

Высылаю лог getsisteminfo. :smiles20(8): Прошу не пугаться такому древнему железу.

Скрипты выполнил, но зараженные *exe появляться не перестали, а трафик забит-- еле всовуюсь!

Спасибо за статейки в ссылках-- многое стал понимать. Почему же NOD определяет причину в Poebot?

Спасибо, что не бросили в беде!!! :bye1:

Архив выслал по указанному адресу.sysinfo.txt

sysinfo.txt

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...