Проверьте-ка на Вирустотал этот файл:
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
С нова Kido или его разновидность
Автор
m.knyazev
, май 15 2009 10:47
36 ответов в этой теме
#21
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 15 Май 2009 - 13:22
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#22
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 15 Май 2009 - 13:24
Проверьте-ка на Вирустотал этот файл:
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
Угу, великоват...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#23
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 15 Май 2009 - 13:33
?У пользователей не очень, у админа 152 битаПароли сильные?
Тогда не совсем понял вопрос про пароли?! пароли для чего?
#24
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 15 Май 2009 - 13:38
Проверьте-ка на Вирустотал этот файл:
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
Угу, великоват...
проверил, вот лог
Прикрепленные файлы:
-
virustotal.com.txt 6,42К
53 Скачано раз
#25
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 15 Май 2009 - 13:41
Проверьте-ка на Вирустотал этот файл:
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
Угу, великоват...
проверил, вот лог
File size: 6144 bytes
MD5...: 99572503e15a3d10239b7b9887cbaf89
Размер не тот. По MD5 файл чистый на 100% Наверное, есть дроппер, который его подменяет временно. Сейчас еще раз логи посмотрю...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#26
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 15 Май 2009 - 13:48
Эти файлы в вирлаб зашлите, будем смотреть что там:
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
Личный сайт по Энкодерам - http://vmartyanov.ru/
#27
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 15 Май 2009 - 13:50
Эти файлы в вирлаб зашлите, будем смотреть что там:
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
ух..... сейчас вышлю
#28
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 15 Май 2009 - 14:04
Выслал
C:\WINDOWS\system32\Dfssvc.exe drweb.com #884102
C:\WINDOWS\System32\dns.exe drweb.com #884097
C:\WINDOWS\system32\cba\pds.exe drweb.com #884100
C:\WINDOWS\System32\ismserv.exe drweb.com #884101
C:\WINDOWS\system32\ntfrs.exe drweb.com #884103
C:\WINDOWS\system32\Dfssvc.exe drweb.com #884102
C:\WINDOWS\System32\dns.exe drweb.com #884097
C:\WINDOWS\system32\cba\pds.exe drweb.com #884100
C:\WINDOWS\System32\ismserv.exe drweb.com #884101
C:\WINDOWS\system32\ntfrs.exe drweb.com #884103
#29
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 15 Май 2009 - 14:20
Кроме дырок в винде, Конфикер ходит по сетевым шАрам (C$), используя админские логин/пароль. Потому и вопрос - пароль сильный? Например, "111111" - это слабый пароль.Тогда не совсем понял вопрос про пароли?! пароли для чего??У пользователей не очень, у админа 152 битаПароли сильные?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#30
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 15 Май 2009 - 14:27
До кучи:Эти файлы в вирлаб зашлите, будем смотреть что там:
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#31
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 15 Май 2009 - 14:35
Кроме дырок в винде, Конфикер ходит по сетевым шАрам (C$), используя админские логин/пароль. Потому и вопрос - пароль сильный? Например, "111111" - это слабый пароль.Тогда не совсем понял вопрос про пароли?! пароли для чего??У пользователей не очень, у админа 152 битаПароли сильные?
Ага. Я так и написал пароль админа один единственный и сложность у него 152 бита и не о каких "11111111" речи не идет http://forum.drweb.com/public/style_emoticons/default/smile.png
#32
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 15 Май 2009 - 14:48
Выслал:
C:\WINDOWS\System32\ismserv.exe - drweb.com #884101
C:\WINDOWS\system32\ams_ii\iao.exe - drweb.com #884141
C:\WINDOWS\system32\cba\xfr.exe - drweb.com #884140
C:\WINDOWS\system32\MsgSys.EXE - drweb.com #884139
и еще до кучи архив с файлами карантина от сумантика где лежать оба файла из первого моего поста:
Quarantine.rar - drweb.com #884145
C:\WINDOWS\System32\ismserv.exe - drweb.com #884101
C:\WINDOWS\system32\ams_ii\iao.exe - drweb.com #884141
C:\WINDOWS\system32\cba\xfr.exe - drweb.com #884140
C:\WINDOWS\system32\MsgSys.EXE - drweb.com #884139
и еще до кучи архив с файлами карантина от сумантика где лежать оба файла из первого моего поста:
Quarantine.rar - drweb.com #884145
#33
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 15 Май 2009 - 15:10
вот результат проверки Quarantine.rar на Virustotal.com
Прикрепленные файлы:
-
virustotal.com.txt 2,14К
65 Скачано раз
#34
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 18 Май 2009 - 10:32
Ну что товарищи??!!! кто нибудь может хоть что то сказать по моей проблеме[ sensored ]
#35
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 18 Май 2009 - 11:50
Без результатов анализа файлов - вряд ли. http://forum.drweb.com/public/style_emoticons/default/sad.pngНу что товарищи??!!! кто нибудь может хоть что то сказать по моей проблеме???
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#36
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 18 Май 2009 - 12:33
Без результатов анализа файлов - вряд ли.Ну что товарищи??!!! кто нибудь может хоть что то сказать по моей проблеме???
эх.... вроде все выслал..... буду ждать.... http://forum.drweb.com/public/style_emoticons/default/smile.png
#37
m.knyazev
-
- Posters
- 22 Сообщений:
Newbie
Отправлено 18 Май 2009 - 16:01
Мда.... походу тревога было ложной.
вот этот файл C:\WINDOWS\System32\drivers\ utixntg1.sys появляется при сканировании утилитой AVZ и является ее драйверами для поиска руткитов.......
вот это C:\WINDOWS\System32\ cltcibcx.h - действительно Kido о чем мне и подтвердили в вирлабе.
Скорее всего вирус пытался пролезть на сервер с локальных машин использую учетку админа с не сложным паролем,по этому и появлялись задания, но во время учетку такую нашел и удалил, сейчас на сервере тихо.
Лечу от вируса машины в локалке.
Всем кто принимал участие в помощи ОГРОМНОЕ СПАСИБО!!! http://forum.drweb.com/public/style_emoticons/default/smile.png
вот этот файл C:\WINDOWS\System32\drivers\ utixntg1.sys появляется при сканировании утилитой AVZ и является ее драйверами для поиска руткитов.......
вот это C:\WINDOWS\System32\ cltcibcx.h - действительно Kido о чем мне и подтвердили в вирлабе.
Скорее всего вирус пытался пролезть на сервер с локальных машин использую учетку админа с не сложным паролем,по этому и появлялись задания, но во время учетку такую нашел и удалил, сейчас на сервере тихо.
Лечу от вируса машины в локалке.
Всем кто принимал участие в помощи ОГРОМНОЕ СПАСИБО!!! http://forum.drweb.com/public/style_emoticons/default/smile.png
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
