Трояна подцепил... Чем побороть?
L
[Lion] 
14:25, 28.06.2005
Backdoor.Win32.Small.eo
Другие названия
Backdoor.Win32.Small.eo («Лаборатория Касперского») также известен как: Exploit-DcomRpc.g.gen (McAfee), W32.Wallz (Symantec), BackDoor.Restrict (Doctor Web), W32/Hwbot-A (Sophos), BKDR_SDBOT.GAA (Trend Micro), BDS/Small.EO (H+BEDV), BackDoor.Small.27.AQ (Grisoft), Backdoor.Small.EO (SOFTWIN), Bck/Small.HI (Panda)
Поведение
Backdoor, троянская программа удаленного администрирования
Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру. Файл программы обычно называется HWCLOCK.EXE и имеет длинну около 7КБ.
Для обеспечения доступа подключается к IRC-каналу и ждет команд удаленного пользователя. По команде может скачавать другие (троянские) программы, а также, используя одну из сетевых уязвимостей MS Windows, может попытаться проникнуть на другие машины в сети.
Регистрируется в системе как сервис:
Service name:
hwclock
Display Name:
Hardware Clock Driver
Service Description:
Enables a computer to save and restore system time information using the
hardware clock. Stopping or disabling this service will result in system instability.
Создает ключи реестра:
[HKLM\software\microsoft\ole]
"enabledcom"="n"
[HKLM\system\currentcontrolset\control\lsa]
"restrictanonymous"="1"
Содержит строки:
symantec.loves.the.cock.pheer.biz
owjgp.game2max.net
=============================================
в процессах сидит как hwclock
антивирусник ругается на c:\windows\system32\hwclock.exe
такого файла там нет..
поиск по всему винту дал результат в кол-ве 1 штука.. но не в вышеуказанной папке...
(безопасный режим), файл был успешно удален
ЗЫ. Все файлы показываются, скрытые, системные тоже
Поиск по реестру:
в службах такой процесс был.. удален
вхождения по поиску hwclock:
HKLM\SYSTEM\ControlSet001\Enum\Root\Legacy_HWCLOCK\
удалить ветку реестра не удается
HKLM\SYSTEM\ControlSet002\Enum\Root\Legacy_HWCLOCK\
удалить ветку реестра не удается
HKLM\SYSTEM\СгккутеControlSet\Enum\Root\Legacy_HWCLOCK\
удалить ветку реестра не удается
куда копать далее?
ЗЫ. ОС только установленная, WinXP Prof
Другие названия
Backdoor.Win32.Small.eo («Лаборатория Касперского») также известен как: Exploit-DcomRpc.g.gen (McAfee), W32.Wallz (Symantec), BackDoor.Restrict (Doctor Web), W32/Hwbot-A (Sophos), BKDR_SDBOT.GAA (Trend Micro), BDS/Small.EO (H+BEDV), BackDoor.Small.27.AQ (Grisoft), Backdoor.Small.EO (SOFTWIN), Bck/Small.HI (Panda)
Поведение
Backdoor, троянская программа удаленного администрирования
Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру. Файл программы обычно называется HWCLOCK.EXE и имеет длинну около 7КБ.
Для обеспечения доступа подключается к IRC-каналу и ждет команд удаленного пользователя. По команде может скачавать другие (троянские) программы, а также, используя одну из сетевых уязвимостей MS Windows, может попытаться проникнуть на другие машины в сети.
Регистрируется в системе как сервис:
Service name:
hwclock
Display Name:
Hardware Clock Driver
Service Description:
Enables a computer to save and restore system time information using the
hardware clock. Stopping or disabling this service will result in system instability.
Создает ключи реестра:
[HKLM\software\microsoft\ole]
"enabledcom"="n"
[HKLM\system\currentcontrolset\control\lsa]
"restrictanonymous"="1"
Содержит строки:
symantec.loves.the.cock.pheer.biz
owjgp.game2max.net
=============================================
в процессах сидит как hwclock
антивирусник ругается на c:\windows\system32\hwclock.exe
такого файла там нет..
поиск по всему винту дал результат в кол-ве 1 штука.. но не в вышеуказанной папке...
(безопасный режим), файл был успешно удален
ЗЫ. Все файлы показываются, скрытые, системные тоже
Поиск по реестру:
в службах такой процесс был.. удален
вхождения по поиску hwclock:
HKLM\SYSTEM\ControlSet001\Enum\Root\Legacy_HWCLOCK\
удалить ветку реестра не удается
HKLM\SYSTEM\ControlSet002\Enum\Root\Legacy_HWCLOCK\
удалить ветку реестра не удается
HKLM\SYSTEM\СгккутеControlSet\Enum\Root\Legacy_HWCLOCK\
удалить ветку реестра не удается
куда копать далее?
ЗЫ. ОС только установленная, WinXP Prof
М
Митяйич
14:34, 28.06.2005
Кароче действуй так............. грузись в защищонном режыме (через Ф8)
Заходи в реестр, удаляй к е*еням вышеуказанныйе сцылки из реестру.
Иди в папку винды и удаляй ШИФТ-ДЕЛом енти фалы самого тройяна............ если такой файл не видишь, то либо у тя нкеотображаеццо скрытыйе файлы............. или антивир его ужо удалил!!!!!!!
Проверь запускаемыйе сервисы в винде........если он там тожэ есть отрубай енту службу и запрещяй ей всё
Ставь всевозможный заплаты (Хот ФИксы) на винду......иначе возможны рецыдивы!!!!!!!!!!
Али Файервол поставь!!!!!!
ВСЁ!
Заходи в реестр, удаляй к е*еням вышеуказанныйе сцылки из реестру.
Иди в папку винды и удаляй ШИФТ-ДЕЛом енти фалы самого тройяна............ если такой файл не видишь, то либо у тя нкеотображаеццо скрытыйе файлы............. или антивир его ужо удалил!!!!!!!
Проверь запускаемыйе сервисы в винде........если он там тожэ есть отрубай енту службу и запрещяй ей всё
Ставь всевозможный заплаты (Хот ФИксы) на винду......иначе возможны рецыдивы!!!!!!!!!!
Али Файервол поставь!!!!!!
ВСЁ!
m
masterO99
14:36, 28.06.2005
Содержит строки:
symantec.loves.the.cock.pheer.biz
owjgp.game2max.net
ищи фаром файлы на диске, содержащие такие строки.
потом в сэйфмоду.
symantec.loves.the.cock.pheer.biz
owjgp.game2max.net
ищи фаром файлы на диске, содержащие такие строки.
потом в сэйфмоду.
L
[Lion]
14:39, 28.06.2005
Заходи в реестр, удаляй к е*еням вышеуказанныйе сцылки из реестру.
павтаряю еще раз:
удалить ветку реестра не удается
притом, админу
Иди в папку винды и удаляй ШИФТ-ДЕЛом енти фалы самого тройяна............ если такой файл не видишь, то либо у тя нкеотображаеццо скрытыйе файлы............
дубль 2:
такого файла там нет..
ЗЫ. Все файлы показываются, скрытые, системные тоже
Проверь запускаемыйе сервисы в винде........если он там тожэ есть отрубай енту службу и запрещяй ей всё
дубль 3:
в службах такой процесс был.. удален
Ставь всевозможный заплаты (Хот ФИксы) на винду......
ок.. попробую.. но проблему не меняет.. вирь уже есть.
вопрос: как лечить!
X
X3PM4H
14:39, 28.06.2005
дак ты ж все расписал уже :-)
загрузись в safe mode, проверь, чтобы эта служба не работала, запусти regedt32, дай себе разрешения на доступ к этим веткам реестра, ну и к другим, где эта зараза упоминается. Ну и удали, соответственно.
То, что файл не виден, скорее всего от проводника его скрывает работающая служба, посмотри чем-нить типа ФАРа
загрузись в safe mode, проверь, чтобы эта служба не работала, запусти regedt32, дай себе разрешения на доступ к этим веткам реестра, ну и к другим, где эта зараза упоминается. Ну и удали, соответственно.
То, что файл не виден, скорее всего от проводника его скрывает работающая служба, посмотри чем-нить типа ФАРа
L
[Lion]
14:39, 28.06.2005
ищи фаром файлы на диске, содержащие такие строки.
потом в сэйфмоду
потом в сэйфмоду
мысль.. пасиб
М
Митяйич
14:41, 28.06.2005
А антивирь то какой???
Я обычно Каспером 4.5 всё выцепляю в защищённом режыме и всё удаляеццо!
Я обычно Каспером 4.5 всё выцепляю в защищённом режыме и всё удаляеццо!
L
[Lion]
14:41, 28.06.2005
еще раз:
Пользователь - админ.. права - все.
все файлы видны и отображаются. файла нет!!!
антивирусник на него орет именно туда...
может ли ОДИН файл полиморфа скрывать себя от просмотра?
даже в безопасном режиме???
L
[Lion]
14:42, 28.06.2005
А антивирь то какой???
F-Prot
по опыту, знает и лечит больше чем кашпировский..
X
X3PM4H
14:43, 28.06.2005
Пользователь - админ.. права - все
Винда не дает даже админу права на некоторые разделы реестра, надо назначать самому
М
Митяйич
14:43, 28.06.2005
[Lion]
Тебе бы достать бутовуйю дискету которайя панимает НТФС........ таким бы образм ты УВИДЕЛ ВСЁ что есть на винте....дажэ скрытойе спец.прогами .......... и таким образом удалил всю хрень!
Тебе бы достать бутовуйю дискету которайя панимает НТФС........ таким бы образм ты УВИДЕЛ ВСЁ что есть на винте....дажэ скрытойе спец.прогами .......... и таким образом удалил всю хрень!
М
Митяйич
14:44, 28.06.2005
[Lion]
Риторическайя тема нсчот антивирей. но не в кажом случайе хорош один и тотжэ инструмент!
Риторическайя тема нсчот антивирей. но не в кажом случайе хорош один и тотжэ инструмент!
L
[Lion]
14:47, 28.06.2005
Винда не дает даже админу права на некоторые разделы реестра, надо назначать самому
ок.. проверю.
A
Alex213
14:49, 28.06.2005
все файлы видны и отображаются. файла нет!!!
антивирусник на него орет именно туда...
антивирусник на него орет именно туда...
Ищи другим. Возможно Касперский тоже болен.
L
[Lion]
14:49, 28.06.2005
Эдэвейр и Спайбут пробовал?
нет.. пока нет
L
[Lion]
14:52, 28.06.2005
служба удалена.. эффект тот же
R
RON.IN
14:54, 28.06.2005
антивирусники Семантик или Маккафи, ф прот тоже ништяк
а касперского выбрось
а касперского выбрось
X
X3PM4H
14:58, 28.06.2005
на варезных сайтах есть бесплатные тулзы pserv, предоставляющая удобный интерфейс для оперирования службами и устройствами (некоторые заразы пишутся в устройства), чтобы врукопашную с реестром не воевать + process explorer, показывающий активные приложения, подключенные модули,
открытые файлы и ключи реестра. Выручало не раз :-)
а вот так не пробовали?
http://securityresponse.symantec.com/avcenter/venc...
http://securityresponse.symantec.com/avcenter/venc...
Обсуждение этой темы закрыто модератором форума.