VPN
13 Sierpień 2007 14:19
#1
Kolega prosił mnie o pomoc, ponieważ podejrzewa, że jego komputer rozsyła spam. Może o tym świadczyć skaner poczty avast, który pokazuje takie lub podobne komunikaty:
Poradziłem mu pełne skanowanie systemu podczas rozruchu systemu, coś tam wykryło i usunęło. Przez chwilę był spokój, ale komunikaty znów powróciły. Sprawdziłem log z HijackThis - wszystko zdaje się być czyste. Dam tutaj jednak log z ComboFix, bo nie umiem go sprawdzać. Jeśli ktoś mógłby rzucić okiem to byłbym wdzięczny: http://wklej.org/id/da73c54b79
jessica
13 Sierpień 2007 16:13
#2
2005-07-29 14:24:26472-csha-rC:\WINDOWS\U3lzdGVtIFJlY292ZXJ5\oa5Wx3pQKIL5sZ6ZtrLc.vbs
Sprawdź go na http://virusscan.jotti.org/
Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552
albo na http://www.virustotal.com/en/indexf.html
(korzysta się podobnie jak z JOTTI).
W logu jest kilka wpisów świadczących o infekcji Haxdoor
Koń trojański który otwiera tzw. tylne drzwi do systemu i zezwala na nieautoyzowany zdalny dostęp do komputera autorowi. Przechwytuje również znaki wprowadzane z klawiatury i kradnie hasła. Kiedy plik trojana zostanie uruchomiony, wykonywane są następujące operacje: 1. W folderze systemowym tworzy pliki: - avpu32.dll - avpu64.sys - qz.sys - qz.dll - qy.sys - klgcptini.dat - stt82.ini 4. Pliki avpu32.sys oraz avpu64.sys rejestruje jako usługi systemu o nazwie “avpu32”, z nazwą wyświetlaną “TCPIP Kernel32” oraz druga o nazwie “avpu64”, z nazwą wyświetlaną “TCPIP2 Kernel”, by uruchamiać je z każdym startem systemu - tworzy klucze: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ avpu32 HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ avpu64 oraz wpis: “@” = “Driver” w lokalizacji: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ avpu32 HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ avpu64 HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ avpu32.sys HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ avpu64 “EnforceWriteProtection” = “0” w lokalizacji: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management 3. Trojan posiada funkcjonalność backdoora i umożliwia: - ukrywanie przed użytkownikiem swoich plików, wpisów w rejestrze i procesów (przy pomocy techniki Stealth) - zabezpiecza się przed próbą zamknięcia swoich procesów - zabezpiecza się przed próbą usunięcia swoich plików - wyłącza inne oprogramowanie, włączając antywirusy, zapory ogniowe i inne związane z bezpieczeństwem
Ja niestety nie mam doświadczenia w usuwaniu tej infekcji.
W każdym razie na początek użyj HaxFix
.
M_i_r
13 Sierpień 2007 17:57
#3