Trojan-Spy.Win32.Zbot.afe

Защита информации, сетевая безопасность, уязвимости

Модератор: Rostov114

Trojan-Spy.Win32.Zbot.afe

Сообщение Rostov114 » 05 апр 2009, 22:30

Признаки зараженной системы. Корни.
1. Ресурс в общем доступе в сетке, под произвольным именем
2. Скрытая папка “wsnpoem” в system32.содержащая audio.dll, video.dll
3. ntos.exe в system32
4. Неубиваемый файл с раширением *.tmp,под произвольным именем
5. Скрытая папка Settings в Общих документах с содержанием *.dll desktop.ini.
Имя *.dll соответствовало имени ресурса открытого к общему доступу.
6. Плохое распознавание антивирусами

Признаки зараженной системы.Последствия.
1. Совершенно мертвый IE 7, никакого соединения.
2. Неубиваемый процесс iexplore.exe с захватом ресурсов процессора до 100% (в некоторых случаях грузится winlogon и один из svchost)
3. Нарастающее количество всевозможных файлов *.dll, *.exe в system32
4. Превращение ПК в “зомби”, прокси сервера для спама и дддос.

Методы лечения.
Методов лечения от этой зарасы в глобальной сити Интернет...не море...но много. Но единственный который сработал и опишу.
0. Первым же делом отключите сетевой кабель из ПК для предотвращения вредоносных действий со стороны вашего ПК.
1. Скачиваем программу AVZ ( данная программа работает на ядре Касперский Антивирус, но может работать рядом с любыми антивирусами и не нуждается в инсталляции ).
2. Запускаем программу и идем Фаил -> Выполнить скрипт
В появивщемся поле пишем:
Код: Выделить всёРазвернуть
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('c:\huadio.tmp','');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\WINNT\system32\wsnpoem\video.dll');
BC_ImportALL;
BC_QrSvc('Wanacsnqraai');
BC_DeleteSvc('Wanacsnqraai');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Где WINNT - имя вашей папки с Windows
3. После выполнения скрипта ПК перезагрузится и при следующем старте такого мощного перегруза уже не будет. Но все равно троян с ОС полностью не удален.
4. Сново запускаем программу и идем Фаил -> Выполнить скрипт
Выполняем следующий скрипт:
Код: Выделить всёРазвернуть
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\PROGRA~1\ARTSGR~1.RU\toolbar.dll','');     
DeleteFile('C:\WINNT\system32\upd1177322939.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Где WINNT - имя вашей папки с Windows соответсвенно.
5. Компьютер сново перезагрузится и после этого троянский конь полностью ужален из ПК.

Действия после обезвреживания.
1. Кране настоятельно рекомендую установить Межсетевой экран (Firewall)
2. Установить антивирус и обновить базу сигнатур антивируса.
3. Проверить ПК антивирусом на наличие "остатков" от троянеца.

Материал взят с securitylab.ru и virusinfo.info

Мое мнение. Троянец очень легко подхватить, но с ним сложновато бороться. И после того как узнаешь что он делает, хочешь быстрее его искоренить из системы.
P.S. Этот троянец меня чуть не спровоцировал уйти с Windows
Некоммерческий проект «HSDN»
Аватара пользователя
Rostov114
Автор
 
Сообщения: 3183
Зарегистрирован: 18 окт 2007, 02:21
Откуда: Россия ( Саратов / Ростов-на-Дону )

Re: Trojan-Spy.Win32.Zbot.afe

Сообщение ibe » 06 апр 2009, 20:46

1. Совершенно мертвый IE 7, никакого соединения.

Похоже, что моя предыдущая система была заражена :crazy:
Изображение
Аватара пользователя
ibe
Активный участник
 
Сообщения: 893
Зарегистрирован: 31 мар 2009, 00:46

Re: Trojan-Spy.Win32.Zbot.afe

Сообщение Rostov114 » 06 апр 2009, 21:09

ibe писал(а):
1. Совершенно мертвый IE 7, никакого соединения.

Похоже, что моя предыдущая система была заражена :crazy:

:crazy: У меня вообще в папке с IE 7 валяются файлы от IE 6...то есть IE у меня хоть так хоть иначе был мертв еще до троя.
Некоммерческий проект «HSDN»
Аватара пользователя
Rostov114
Автор
 
Сообщения: 3183
Зарегистрирован: 18 окт 2007, 02:21
Откуда: Россия ( Саратов / Ростов-на-Дону )

Re: Trojan-Spy.Win32.Zbot.afe

Сообщение Zinger » 07 апр 2009, 23:54

Спасибо доходчиво написал!! Будем знать какие методы лечения есть
Изображение
Аватара пользователя
Zinger
Автор
 
Сообщения: 168
Зарегистрирован: 15 май 2008, 15:30
Откуда: Саратов
Домен: http://zinger.vfose.ru


Вернуться в Компьютерная безопасность

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron