[ Закрыто ] модифицированный Win32/Kryptik.XOG троянская программа

RSS

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 21.12.2011 12:46:20

Добрый день.
C:\Users\admin\AppData\Roaming\893C.exe - модифицированный Win32/Kryptik.XOG троянская программа - очищен удалением - изолирован. После перезагрузки ESS 5.0.95.0 снова обнаруживает троян по прежнему адресу с новым именем *.exe
Если будем лечить, то как ?

Ответы

Пред. 1 2 3 След.

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 13:55:27

похоже, подбрасываются все таки файлики в папку,
причина пока непонятна.

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2 zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 13:56:21

+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 13:59:27

+
новый образ автозапуска,
можно повторить скрипт с addir, crimg,
но похоже или в автозапуске сидит еще файлик, который сбрасывает экзешники в папку roaming,
или по сети пробивает.

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 14:04:07

+
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 14:11:21

судя по всему, предыдущий скрипт очистки в uVS не был выполнен. все те же файлики на прежнем месте.

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 22.12.2011 14:21:36

чувствую свою вину: проверка системы в малваребайт от 21.12.2011 была осуществлена без предварительного обновления!. Сейчас обновил и были обнаружены backdoor по интересующему нас пути.

Изменено: abrazo - 22.12.2011 14:21:53

Сообщений: 16

Баллов: 8

Регистрация: 19.12.2011

Размещено 22.12.2011 14:52:20

Направляю данные. uVS и малваребайт обнаружили угрозы.

Прикрепленные файлы

mbam-log-2011-12-22 (14-21-49).rar (615 Б)
SCSI4_2011-12-22_14-33-10.rar (306.17 КБ)
TDSSKiller.2.6.23.0_22.12.2011_14.41.16_log.rar (12.89 КБ)

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 16:09:10

1. удалить все найденное в МБАМ

Цитата
Зараженные файлы: c:\Users\admin\AppData\Roaming\1348.exe (Backdoor.IRCBot) -> No action taken. c:\Users\admin\AppData\Roaming\CDA5.exe (Backdoor.IRCBot) -> No action taken. c:\Users\admin\AppData\Roaming\F21C.exe (Backdoor.IRCBot) -> No action taken. c:\Users\admin\AppData\Roaming\FCD6.exe (Backdoor.IRCBot) -> No action taken.

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 16:12:52

abrazo, вопрос:
вы скрипты в uVS выполняете, или только образы им создаете всякий раз?

вот скрипт в uVS из сообщения 11

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2 zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart

здесь прописано удаление файлов, тех что попали в последний лог малваребайт.

Изменено: santy - 22.12.2011 16:21:51

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 22.12.2011 16:20:01

+
проверить данный файл на http://virustotal.com

Цитата
Полное имя C:\WINDOWS\SYSTEM32\CNARLMNT.DLL Имя файла CNARLMNT.DLL Тек. статус в автозапуске www.virustotal.com Хэш НЕ найден на сервере. Сохраненная информация на момент создания образа Статус в автозапуске Размер 89088 байт Создан 20.12.2011 в 16:16:54 Изменен 27.02.2007 в 01:05:42 Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Версия файла 1.1.0.0 Описание Canon MF8100 Series LanguageMonitor. Производитель キヤノン株式会社 Комментарий Доп. информация на момент обновления списка SHA1 BAC2DD663BA75B5E055A45A96191198A73A3B4B2 MD5 1C9E573374425F1446F76E9A6F8E8F24 Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Control\Print\Monitors\CARPSLM Monitor\Driver Driver CNARLMNT.DLL

Цитата

Полное имя C:\WINDOWS\SYSTEM32\CNARLMNT.DLL
Имя файла CNARLMNT.DLL
Тек. статус в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 89088 байт
Создан 20.12.2011 в 16:16:54
Изменен 27.02.2007 в 01:05:42
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя
Версия файла 1.1.0.0
Описание Canon MF8100 Series LanguageMonitor.
Производитель キヤノン株式会社
Комментарий

Доп. информация на момент обновления списка
SHA1 BAC2DD663BA75B5E055A45A96191198A73A3B4B2
MD5 1C9E573374425F1446F76E9A6F8E8F24

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Control\Print\Monitors\CARPSLM Monitor\Driver
Driver CNARLMNT.DLL

[ Как создать образ автозапуска? ]

Пред. 1 2 3 След.