Странная ситуация

[lolex]

Здравствуйте, ребят. У меня странная ситуация, но суть вот в чём.

У меня не стоит ни фаервола, ни антивируса. Мне дали ссылку на сайт. Визуально ничего не открылось, но был запущен скрипт (хром попросил активировать QuickTime и Java плагины), ну я с дуру то и активировал.

Вот лог от хакера, взломавшего меня:

[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 java_verifier_field_access - Sending Java Applet Field Bytecode Verifier Cache Remote Code Execution
[*] 10.33.36.109	 java_verifier_field_access - Generated jar to drop (5483 bytes).
[*] 10.33.36.109	 java_jre17_exec - Java 7 Applet Remote Code Execution handling request
[*] 10.33.36.109	 java_atomicreferencearray - Sending Java AtomicReferenceArray Type Violation Vulnerability
[*] 10.33.36.109	 java_atomicreferencearray - Generated jar to drop (5483 bytes).
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending exploit QTL file (target: Browser Universal)
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_verifier_field_access - Sending jar
[*] 10.33.36.109	 java_rhino - Sending Applet.jar
[*] 10.33.36.109	 java_atomicreferencearray - Sending jar
[*] 10.33.36.109	 java_jre17_exec - Sending Applet.jar
[*] 10.33.36.109	 java_verifier_field_access - Sending jar
[*] 10.33.36.109	 java_rhino - Sending Applet.jar
[*] 10.33.36.109	 java_atomicreferencearray - Sending jar
[*] 10.33.36.109	 java_jre17_exec - Sending Applet.jar
[*] Sending stage (30216 bytes) to 10.33.36.109
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request

 

Насколько я понимаю хакер использовал QT или Java експлоит.

Короче, после всего этого началось. Он скидывал мне скрины с моего экрана) Видел всё что я делал, мог управлять моими программами (он настроил CCProxy, у меня остались его логи). Я знаю статический IP локальной сети хакера.

 

И тоже странная просьба. Мне нужно не просто удалить вирус, а понять где он полазил, вернее в каком процессе он жил. Кстати видимо хакер оставил бэкдор, т.к. после перезагрузки компа он залез снова. Руткиты он вроде не использовал.

Помогите пожалуйста, я нуб в вирусологии)

Изменено 29 сентября, 2012 пользователем lolex

[thyrex]

Выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551

[lolex]

Да, извиняюсь, не заметил. На заметку, хакер использовал этот эксплоит. удалено

 

1. Проверил "Dr.Web CureIt!".

2. AVZ уже стояла, обновил базы. Скачал RSIT.

3. Так, я пока не буду удалять темпы. Так как с этим сотрутся виндовые логи (я прав?), а мне нужно найти место действия эксплоита (ошибку выполнения сценария). Обязательно ли это делать? Продолжу после ответа.

Строгое предупреждение от модератора Mark D. Pearlstone

Предупреждение за нарушение пункта 11 правил форума.

[Roman_Five]

Так, я пока не буду удалять темпы.

продолжайте без очистки.