irc/Backdoor.sdbot3.bds


(Tony Maniolo) #1

http://wklej.org/id/544f4df700 HT

http://www.wklej.org/id/dbf5f073c5 CFix

http://wklej.org/id/9cc40a0ca4 SilentRunner

ostatnio jechałem bez żadnego AV,wczoraj odpaliłem AVG co by się aktualnął i od razu po otwarciu alarmował że mam tytułowego trojanka.uleczyłem go.zmianę jaką zauważyłem to to że na jednej tylko stronce wyświetla się banner że wygrałem jakąś nagrodę i mam podać imię i nazwisko.certyfikat już na mnie czeka:).wyłączyłem przywracanie,i w trybie awaryjnym przeskanowałem kompa.nic nie znalazł.restart,użyłem pestpatrola i odnalazł go i podał nazwę BIFROST.usunąłem wpis z rejestru gdzie siedział,kilka scanów i nic.czysty niby.ale ta reklama nadal tam siedzi na stronce.gugle wyjaśniło że to rodzaj robala(bifrost) zbierającego dane więc format c i nadal avg znajdował ale tym razem w pliku w system32/zqkn.exe.oczywiście śladu tam po nim nie było.po następnym formacie(z racji że nie bardzo kaman u mnie z rejestrami i sprawami z nimi)rozwaliłem partycje c na 2 mniejsze.scan i znowu backdoor ale na dysku d w instalce(przyznam się że nie sprawdzałem tej instalki jak ją ściągnąłem)więc to chyba to było głównym problemem.wywaliłem tego exeka trefnego.kilka scanow roznymi av i cisza.perypetie z system volume inf też przeszedłem...jakieś tracking.logi i mountpoint się tworzą ale to chyba od windy procesy gugle podało.aha,outpost nie chce usuwać tracking cookie,nie wiem dlaczego.av i fw się włączają i inne dla bezpieczeństwa progsy normalnie.nic im nie przeszkadza.


(Baldys15) #2

sfixuj:

O4 - HKUS.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)

pozatym log jest czysty,przeleć kompa np Trojan Removerem.

loga 2 niech ktoś inny przeanalizuje,bo ja nie umiem =P~