Что это было?

This topic has 0 ответов, 1 участник, and was last updated 13 years, 10 months назад by creig.

Просмотр 1 сообщения - с 1 по 1 (всего 1)

Автор

Сообщения
23 января, 2011 в 7:46 пп #18925
creig
Participant
- Темы:1
- Сообщений:1
обнаружил у себя в винлогоне троянца, который нихера не удалялся. похоже, это распространенная болезнь, судя по форуму. откомбофиксил его, теперь выкладываю для анализа лог.
ComboFix 11-01-22.03 — Главный инженер 23.01.2011 22:15:38.1.1 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.хххх.хх.ххх.ххх [GMT 3:00]
Running from: d:мои документыDownloadsComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
ADS — svchost.exe: deleted 68 bytes in 1 streams.
ADS — ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS — win32k.sys: deleted 68 bytes in 1 streams.
ADS — netcfgx.dll: deleted 100 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:windowssystem32GBA0C.tmp.exe
c:windowssystem32lowsec
c:windowssystem32lowseclocal.ds
c:windowssystem32lowsecuser.ds
c:windowssystem32lowsecuser.ds.lll

BITS: Possible infected sites

hxxp://soft.export.yandex.ru
hxxp://download.yandex.ru
c:windowssystem32winlogon.exe . . . is infected!!

c:windowsexplorer.exe . . . is infected!!

.
((((((((((((((((((((((((( Files Created from 2010-12-23 to 2011-01-23 )))))))))))))))))))))))))))))))
.

2011-01-01 09:21 . 2011-01-01 09:21

d

w- c:documents and settingsNetworkServiceLocal SettingsApplication DataESET

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

Sigcheck

[-] 2008-04-15 . B169FFF3A3495BC44C5D8B1442AEBBD0 . 509440 . . [5.1.2600.5512] . . c:windowssystem32winlogon.exe

[-] 2008-04-15 . 01A2753EB2BF413265367B2BB1D6C47A . 1034240 . . [6.00.2900.5512] . . c:windowsexplorer.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{7778AA60-698A-41D9-9BF0-7AB41045AA7F}»= «c:program filesYandexYandexBarIEbarsbarieesetyndbar.dll» [2010-08-20 8318792]

[HKEY_CLASSES_ROOTclsid{7778aa60-698a-41d9-9bf0-7ab41045aa7f}]
[HKEY_CLASSES_ROOTYandexEset.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{7775BF84-AB6A-44DE-8E7B-C32934180E03}]
[HKEY_CLASSES_ROOTYandexEset.Toolbar]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{7778AA60-698A-41D9-9BF0-7AB41045AA7F}»= «c:program filesYandexYandexBarIEbarsbarieesetyndbar.dll» [2010-08-20 8318792]

[HKEY_CLASSES_ROOTclsid{7778aa60-698a-41d9-9bf0-7ab41045aa7f}]
[HKEY_CLASSES_ROOTYandexEset.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{7775BF84-AB6A-44DE-8E7B-C32934180E03}]
[HKEY_CLASSES_ROOTYandexEset.Toolbar]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadlibNMBgMonitor.exe» [2006-03-01 90112]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2010-06-25 324912]
«QIP Internet Guardian»=»c:documents and settingsГлавный инженерApplication DataQipGuardQipGuard.exe» [2010-06-16 190416]
«Infium»=»c:program filesQIP 2010qip.exe» [2010-06-16 5813200]
«Google Update»=»c:documents and settingsГлавный инженерLocal SettingsApplication DataGoogleUpdateGoogleUpdate.exe» [2010-10-13 136176]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 8.0ReaderReader_sl.exe» [2008-01-11 39792]
«VTTimer»=»VTTimer.exe» [2005-03-07 53248]
«VTTrayp»=»VTtrayp.exe» [2005-03-11 147456]
«SoundMan»=»SOUNDMAN.EXE» [2006-01-11 577536]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2006-01-12 155648]
«USB Storage Toolbox»=»c:windowsUMStorRes.EXE» [2009-06-08 65536]
«SunJavaUpdateSched»=»c:program filesCommon FilesJavaJava Updatejusched.exe» [2010-01-11 246504]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2010-08-12 2215064]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-15 15360]

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«DisallowRun»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorerdisallowrun]
«1»= opera.exe
«2»= chrome.exe
«3»= safari.exe
«4»= safari.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Skype\Plugin Manager\skypePM.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

R1 ehdrv;ehdrv;c:windowssystem32driversehdrv.sys [29.09.2009 13:02 115008]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [29.09.2009 13:05 95896]
R2 ekrn;ESET Service;c:program filesESETESET NOD32 Antivirusekrn.exe [12.08.2010 14:16 810144]
.
Contents of the ‘Scheduled Tasks’ folder
.
.

Supplementary Scan

.
uStart Page = hxxp://www.yandex.ru/?clid=40316
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
TCP: {33BCB2CF-C594-4B77-8362-E873DF268E78} = 192.168.0.1
TCP: {93F80217-611B-4880-9C42-9AFC341BCE9A} = 88.87.64.6 88.87.65.3
.
— — — — ORPHANS REMOVED — — — —

HKU-Default-Run-rus — c:windowssystem32Cerbservs.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-23 22:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2011-01-23 22:24:24
ComboFix-quarantined-files.txt 2011-01-23 19:24

Pre-Run: 12 967 604 224 байт свободно
Post-Run: 14 109 564 928 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
UnsupportedDebug=»do not select this» /debug
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect

— — End Of File — — 79FFFBC6CA8775771EEFF8BD6877BD5E
Подскажите, плс, где я подцепил трояна, чтобы больше туда не ходить. неужели с яндекса?
Автор

Сообщения

Просмотр 1 сообщения - с 1 по 1 (всего 1)

Тема ‘Что это было?’ закрыта для новых сообщений.

Что это было?

Добро пожаловать

Поиск

Последние темы

СПАЙВАРЕ РУ

Нужна помощь?

Ссылки