С нова Kido или его разновидность
#21
Отправлено 15 Май 2009 - 13:22
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
Борис А. Чертенко aka Borka.
#22
Отправлено 15 Май 2009 - 13:24
Проверьте-ка на Вирустотал этот файл:
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
Угу, великоват...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#23
Отправлено 15 Май 2009 - 13:33
?У пользователей не очень, у админа 152 битаПароли сильные?
Тогда не совсем понял вопрос про пароли?! пароли для чего?
#24
Отправлено 15 Май 2009 - 13:38
Проверьте-ка на Вирустотал этот файл:
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
Угу, великоват...
проверил, вот лог
Прикрепленные файлы:
#25
Отправлено 15 Май 2009 - 13:41
Проверьте-ка на Вирустотал этот файл:
Driver: C:\WINDOWS\System32\Drivers\Beep.SYS
Size: 28672 bytes
Что-то он мне не нравится...
Угу, великоват...
проверил, вот лог
File size: 6144 bytes
MD5...: 99572503e15a3d10239b7b9887cbaf89
Размер не тот. По MD5 файл чистый на 100% Наверное, есть дроппер, который его подменяет временно. Сейчас еще раз логи посмотрю...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#26
Отправлено 15 Май 2009 - 13:48
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
Личный сайт по Энкодерам - http://vmartyanov.ru/
#27
Отправлено 15 Май 2009 - 13:50
Эти файлы в вирлаб зашлите, будем смотреть что там:
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
ух..... сейчас вышлю
#28
Отправлено 15 Май 2009 - 14:04
C:\WINDOWS\system32\Dfssvc.exe drweb.com #884102
C:\WINDOWS\System32\dns.exe drweb.com #884097
C:\WINDOWS\system32\cba\pds.exe drweb.com #884100
C:\WINDOWS\System32\ismserv.exe drweb.com #884101
C:\WINDOWS\system32\ntfrs.exe drweb.com #884103
#29
Отправлено 15 Май 2009 - 14:20
Кроме дырок в винде, Конфикер ходит по сетевым шАрам (C$), используя админские логин/пароль. Потому и вопрос - пароль сильный? Например, "111111" - это слабый пароль.Тогда не совсем понял вопрос про пароли?! пароли для чего??У пользователей не очень, у админа 152 битаПароли сильные?
Борис А. Чертенко aka Borka.
#30
Отправлено 15 Май 2009 - 14:27
До кучи:Эти файлы в вирлаб зашлите, будем смотреть что там:
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
Борис А. Чертенко aka Borka.
#31
Отправлено 15 Май 2009 - 14:35
Кроме дырок в винде, Конфикер ходит по сетевым шАрам (C$), используя админские логин/пароль. Потому и вопрос - пароль сильный? Например, "111111" - это слабый пароль.Тогда не совсем понял вопрос про пароли?! пароли для чего??У пользователей не очень, у админа 152 битаПароли сильные?
Ага. Я так и написал пароль админа один единственный и сложность у него 152 бита и не о каких "11111111" речи не идет http://forum.drweb.com/public/style_emoticons/default/smile.png
#32
Отправлено 15 Май 2009 - 14:48
C:\WINDOWS\System32\ismserv.exe - drweb.com #884101
C:\WINDOWS\system32\ams_ii\iao.exe - drweb.com #884141
C:\WINDOWS\system32\cba\xfr.exe - drweb.com #884140
C:\WINDOWS\system32\MsgSys.EXE - drweb.com #884139
и еще до кучи архив с файлами карантина от сумантика где лежать оба файла из первого моего поста:
Quarantine.rar - drweb.com #884145
#33
Отправлено 15 Май 2009 - 15:10
Прикрепленные файлы:
#34
Отправлено 18 Май 2009 - 10:32
#35
Отправлено 18 Май 2009 - 11:50
Без результатов анализа файлов - вряд ли. http://forum.drweb.com/public/style_emoticons/default/sad.pngНу что товарищи??!!! кто нибудь может хоть что то сказать по моей проблеме???
Борис А. Чертенко aka Borka.
#36
Отправлено 18 Май 2009 - 12:33
Без результатов анализа файлов - вряд ли.Ну что товарищи??!!! кто нибудь может хоть что то сказать по моей проблеме???
эх.... вроде все выслал..... буду ждать.... http://forum.drweb.com/public/style_emoticons/default/smile.png
#37
Отправлено 18 Май 2009 - 16:01
вот этот файл C:\WINDOWS\System32\drivers\ utixntg1.sys появляется при сканировании утилитой AVZ и является ее драйверами для поиска руткитов.......
вот это C:\WINDOWS\System32\ cltcibcx.h - действительно Kido о чем мне и подтвердили в вирлабе.
Скорее всего вирус пытался пролезть на сервер с локальных машин использую учетку админа с не сложным паролем,по этому и появлялись задания, но во время учетку такую нашел и удалил, сейчас на сервере тихо.
Лечу от вируса машины в локалке.
Всем кто принимал участие в помощи ОГРОМНОЕ СПАСИБО!!! http://forum.drweb.com/public/style_emoticons/default/smile.png
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых