�� esetnod32.ru [��: �� .]

�� .

Fri, 21 Oct 2011 22:58:31 +0400

�� . ESS 4.2 � �� .

====quote====
santy ��:
C�� .
=============
��...
�� .
21.10.2011 22:58:31, RP55 RP55.

�� .

Fri, 21 Oct 2011 22:00:40 +0400

�� . ESS 4.2 � �� .
RP55,
�� .
�� .
� �� "-", � �� .
� �� (�� ) �� ,
� �� �� .

�� , ��
�� .
---------------
�� , �� - �� ,
�� , �� .
21.10.2011 22:00:40, santy.

�� .

Fri, 21 Oct 2011 19:19:51 +0400

�� . ESS 4.2 � �� .

====quote====
Pepex ��:
�� .
=============
�� !
21.10.2011 19:19:51, RP55 RP55.

�� .

Fri, 21 Oct 2011 13:05:53 +0400

�� . ESS 4.2 � �� .
8)
21.10.2011 13:05:53, Pepex.

�� .

Fri, 21 Oct 2011 11:45:41 +0400

�� . ESS 4.2 � �� .

====quote====
Pepex ��:
�� . �� .
=============
�� . �� 3. .
21.10.2011 11:45:41, santy.

�� .

Fri, 21 Oct 2011 11:08:58 +0400

�� . ESS 4.2 � �� .
�� . �� .
21.10.2011 11:08:58, Pepex.

�� .

Thu, 20 Oct 2011 23:12:33 +0400

�� . ESS 4.2 � �� .

====quote====
Pepex ��:
Pepex
=============

mbam-log
�� :
c:\WINDOWS\system32\rserver30\newtstop.dll (Backdoor.Bot) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Backdoor.Bot) -> Bad: (C:\WINDOWS\system32\rserver30\newtstop.dll) Good: () -> No action taken.

�� newtstop.dll �� .
http://www.virustotal.com/file-scan/report.html?id=366265a83bd756cc1711055b9b7ba55f9ef1403f541e238c0d69efa84b052fa1-1319047336
�� , �� .

�� - �� mbam ��.

� ��: �� .
-------------------------------------------------
�� :
http://forum.esetnod32.ru/forum9/topic751/
-------------------------------------------------
�� , �� - � �� OC.
20.10.2011 23:12:33, RP55 RP55.

�� .

Thu, 20 Oct 2011 17:32:20 +0400

�� . ESS 4.2 � �� .
�� .

�� zoo � �� ... �.�. �� FGTHS.SYS �� ) �� .
mbam-log-2011-10-20 (16-27-37).rar
new.rar
20.10.2011 17:32:20, Pepex.

�� .

Thu, 20 Oct 2011 17:09:02 +0400

�� . ESS 4.2 � �� .

====quote====
Pepex ��:
� �� zoo %Sys32%\RSERVER30\NEWTSTOP.DLL �� ?? �� ??
=============
��, �� Zoo - �� .
�� .
�� . ( �� - �� restart )
* �� .
+
��
http://forum.esetnod32.ru/forum9/topic682/
�� , �� .

====quote====

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\FGTHS.SYS
bl 53BAC9C10D479965FB348DE086559AED 47648
addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C920ECC999 8 Win32/Rootkit.Kryptik.DP [NOD32]

chklst
delvir
zoo F:\GOLAC\\\\TORNADO.EXE
delall F:\GOLAC\\\\TORNADO.EXE
zoo GOLAC\\\TORNADO.EX�
delall GOLAC\\\TORNADO.EX�
deltmp
delnfr
regt 5
regt 18
czoo
restart

=============

�� uVS (� �� , �� ,
��: 2010-10-04_13-30-55.rar/7z)
... �� virusesnod32@gmail.com, support@esetnod32.ru;
*** �� , �� ZOO � �� infect
20.10.2011 17:09:02, RP55 RP55.

�� .

Thu, 20 Oct 2011 17:02:08 +0400

�� . ESS 4.2 � �� .
� �� zoo %Sys32%\RSERVER30\NEWTSTOP.DLL
�� ?? �� ??
20.10.2011 17:02:08, Pepex.

�� .

Thu, 20 Oct 2011 16:50:46 +0400

�� . ESS 4.2 � �� .
�� 2

====quote====

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %Sys32%\RSERVER30\NEWTSTOP.DLL

zoo %SystemRoot%\FGTHS.SYS
bl 53BAC9C10D479965FB348DE086559AED 47648
addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C920ECC999 8 Win32/Rootkit.Kryptik.DP [NOD32]

chklst
delvir
zoo F:\GOLAC\\\\TORNADO.EXE
delall F:\GOLAC\\\\TORNADO.EXE
zoo GOLAC\\\TORNADO.EX�
delall GOLAC\\\TORNADO.EX�
deltmp
delnfr
regt 5
regt 18
czoo
restart

=============

20.10.2011 16:50:46, RP55 RP55.

�� .

Thu, 20 Oct 2011 16:48:59 +0400

�� . ESS 4.2 � �� .
�� . �� ? �� ??
�� TORNADO.EX� ??
20.10.2011 16:48:59, Pepex.

�� .

Thu, 20 Oct 2011 16:20:54 +0400

�� . ESS 4.2 � �� .
Pepex,
��
====code====

;uVS v3.71 script [http://dsrt.dyndns.org] 

sreg 
delref C:\WINDOWS\FGTHS.SYS
areg

=============
20.10.2011 16:20:54, ��.

�� .

Thu, 20 Oct 2011 16:17:40 +0400

�� . ESS 4.2 � �� .
��. �� .
20.10.2011 16:17:40, Pepex.

�� .

Thu, 20 Oct 2011 16:07:02 +0400

�� . ESS 4.2 � �� .

====quote====
Pepex ��:
��.
=============

�� !
�� :
D:\PROFIT\AUM\AUM.EXE
D:\PROFIT\SKL\SKL.EXE
�� ?
20.10.2011 16:07:02, RP55 RP55.

�� .

Thu, 20 Oct 2011 15:41:09 +0400

�� . ESS 4.2 � �� .
��.
PR4_2011-10-20_14-36-18.rar
20.10.2011 15:41:09, Pepex.

�� .

Thu, 20 Oct 2011 15:24:13 +0400

�� . ESS 4.2 � �� .

====quote====
Pepex ��:
��. | GOLAC\\\TORNADO.EX�
=============
�� ...
�� :
\GOLAC\tornado.exe
\GOLAC\\tornado.exe
\golac\\\tornado.exe ( DrWEB: Trojan.Packed.20312 )

ESET :
Win32/Bflient.K-�� , �� . �� backdoor. �� . �� run-time �� UPX.
��
�� :

%appdata%\sjlp.exe

� �� , �� :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon]
"Taskman" = "%appdata%\sjlp.exe"
"Shell" = "explorer.exe,%appdata%\sjlp.exe"
��
�� :
%drive%\GOLAC\tornado.exe

�� :
%��%\autorun.inf

�� , �� .
��
�� :
"cookies"
��
��
��

�� .
��
�� , � �� :

explorer.exe
iexplore.exe

�� .
�� (4) Url.
�� :

�� /��
��
�� URL-��
�� ,
��
��

��, �� ...
20.10.2011 15:24:13, RP55 RP55.

�� .

Thu, 20 Oct 2011 14:17:56 +0400

�� . ESS 4.2 � �� .
Pepex,
�� - http://forum.esetnod32.ru/forum9/topic683/
20.10.2011 14:17:56, ��.

�� .

Thu, 20 Oct 2011 09:18:32 +0400

�� . ESS 4.2 � �� .
;uVS v3.71 [Windows 5.1.2600 SP3 Service Pack 3]
; �� <=

��. | D:\PROFIT\ARP\ARP.EXE
��(�)| C:\WINDOWS\SYSTEM32\DRIVERS\EHDRV.SYS
��(�)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\FBCLIENT.DLL
��(�)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCP71.DLL
��(�)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCR71.DLL
��(�)| C:\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\9.00\LICENSING\PE\MSVCR71.DLL
��(�)| C:\WINDOWS\SYSTEM32\RSERVER30\NEWTSTOP.DLL
��(�)| C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
��. | GOLAC\\\TORNADO.EX�

2 �� ..
20.10.2011 09:18:32, Pepex.

����� esetnod32.ru [����: ������ �������� ���������� �����.]

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

������ �������� ���������� �����.

�� esetnod32.ru [��: �� .]

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .

�� .