Index Fórum

Neptunusz* 2006.01.23		0 0 topiknyitó
Sziasztok, kicsit hossú leszek, bocs: víruskereső nélkül használtam a gépemet néhány hétig, ill csak tűzfallal... most rászabadítottam a NOD-ot, s talált ferőzött fájlokat... Így néz ki, ezt írja ki, ha futtatom a keresőt: a variant of Win32 Beastdoor Trojan found in operating memory. System memory infection originataed from file C/Windows/msvgnt.ddl És ezeket listázza: C/System Volume Information/restore(és itt csomó szám) C/Windows/msvgnt.ddl C/windows/msagent/... Na, szóval 5 fertőzött fájl van? Asszem a memóriában..., tehát nem is törölhetők... És még ezt fűzi hozzá: a variant of Win32/Beastdoor trojan found in operating memory. The file can be d. It is strongly recommended that you back up any crucial data before you proceed. No action can be taken while the file is in memory. Click "Leave" to continue and subsequently run the cleaning of all local disks. System memory infection originated from file C:WINDOWSmsvgnt.dll Erről a beastdoor vírusról ezt találtam: elterjedtség: alacsony (akkor miért pont hozzám jött?) Részletes leírás A program indulásnál átmásolja magát a %system%msjjsv.com, %windows%msagentmsqstb.com és a %windows%svchost.exe neveken. Leállítja és letiltja a SharedAccess service-t. Valamint leállít minden olyan service-t és process-t, melynek az exe neve a következők valamelyike: _AVP32 _AVPCC _AVPM ACKWIN32 AGENTSVR ADVXDWI N ALERTSVC és itt listáz még egy csomót...nem írom ki, mert rengeteg... A registry-be következő bejegyzéseket teszi: HKLMMicrosoftActive SetupInstalled Components{42CE4021-DE03-E3CC-EA32-40BB12E6015D} alá: StubPath="%system% msjjsv.com" HKLMSOFTWAREMicrosoftWindowsCurrentVersion policiesExplorerRun alá: COM SERVICE="%windows%msagentmsqstb.com" Elérve ezzel, hogy a rendszer indulásánál mind a két másolat elinduljon, amelyek végül is az svchost.exe-t indítják el. Valamint értesíti a támadót a gép megszerzéséről egy internetes php oldal megnyitásával. Megvizsgálja, hogy a svchost.exe néven fut-e a %windows% könyvtárból, ha nem akkor elindítja a %windows%svchost.exe fájlt (önmagát) és leáll. Ha az svchost.exe indult, akkor a program kinyitja a 6666-os portot és várja a támadó csatlakozását. Miután a támadó azonosította magát a program 6667-6674-ig nyit meg portokat, amelyek segítségével a támadó átveheti az irányítást a gép fölött: -Fájlműveleteket hajhat végre -Folyamatokat állíthat le -Registry-t szerkesztheti -Uninstallálhatja a programot -Startgombot elrejtheti, letilthatja -Órát állíthatja, elrejtheti valamint a program kódolva elmenti az eseményeket a %windows%mslg.blf fájlba. Manuális eltávolítás: Töröljük ki a program által létrehozott registry bejegyzéseket. Indítsuk újra a számítógépet csökkentett módban, és töröljük a program által létrehozott fájlokat. Ha valaki tud segíteni, azt nagyon megköszönném... *(bocsánat, hogy ezért külön topikot nyitottam, beleírtam ezt a NOD-osba is...)*