Показано с 1 по 16 из 16.

Руткит BackDoor.Siggen (заявка № 108184)

  1. #1
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46

    Thumbs down Руткит BackDoor.Siggen

    Запустил на компе скачанный из нета ненужный файл. Теперь:

    В диспетчере задач висит системный процесс 2801479846:1506739289.exe. Ничем не убьешь, даже с правами системы.
    В папке C:\Windows\ пустой файл 2801479846
    Cureit в процессе сканирования закрывается в обычном режиме. В safe mode сканирует и находит BackDoor.Siggen, но после перезагрузки всё возвращается обратно.
    Тулза от Касперского вообще не может запуститься.

    В AVZ отработал "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и создался лог. Скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" начинает работать и закрывается вся программа.

    HijackThis при нажатии на кнопку "Do a system scan and save a logfile" также закрывается.

    Поэтому могу пока выложить только лог virusinfo_syscure.zip.

    Что сделать дальше? Подскажите.
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) rublanin, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\oxyedpsp.dll','');
     QuarantineFile('c:\windows\2801479846:1506739289.exe:$DATA','');
     QuarantineFile('c:\windows\2801479846:1506739289.exe','');
     DeleteFile('c:\windows\2801479846:1506739289.exe');
     DeleteFile('c:\windows\2801479846:1506739289.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\oxyedpsp.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=108184).
    Сделайте новые логи.
    I am not young enough to know everything...

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46
    После выполнения Вашего скрипта и перезагрузки файл 2801479846:1506739289.exe исчез из диспетчера задач. но после второй перезагрузки опять появился.

    Лог скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" опять не могу прислать, потому что AVZ закрывается при его выполнении. С логами HijackThis таже ситуация.
    Вложения Вложения

  7. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Карантин пустой получился.

    Выполните скрипт в AVZ в безопасном режиме:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\oxyedpsp.dll','');
     QuarantineFile('c:\windows\2801479846:1506739289.exe:$DATA','');
     QuarantineFile('c:\windows\2801479846:1506739289.exe','');
     DeleteFile('c:\windows\2801479846:1506739289.exe');
     DeleteFile('c:\windows\2801479846:1506739289.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\oxyedpsp.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.

    Цитата Сообщение от rublanin Посмотреть сообщение
    после второй перезагрузки опять появился.
    Видимо, проникает снаружи, используя уязвимости системы:
    Версия Windows: 5.1.2600, Service Pack 2
    Надо ставить SP3 и последующие обновления.
    (Может потребоваться повторная активация Windows).
    I am not young enough to know everything...

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46
    Ситуация щас такая, что файл исчез, я не могу получить адрес на DHCP

    Журнал выполнения скрипта на AVZ в безопасном режиме:
    >>>> Подозрение на маскировку файла процесса: c:\windows\2801479846:1506739289.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    Файл успешно помещен в карантин (c:\windows\2801479846:1506739289.exe:$DATA)
    Ошибка карантина файла, попытка прямого чтения (c:\windows\2801479846:1506739289.exe)
    Ошибка карантина файла, попытка прямого чтения (c:\windows\2801479846:1506739289.exe)
    Удаление файла:c:\windows\2801479846:1506739289.exe
    Удаление файла:c:\windows\2801479846:1506739289.exe:$DATA
    >>>Для удаления файла c:\windows\2801479846:1506739289.exe:$DATA необходима перезагрузка
    Удаление файла:C:\WINDOWS\system32\oxyedpsp.dll
    Автоматическая чистка следов удаленных в ходе лечения программ
    Вложения Вложения

  10. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте лог gmer.
    I am not young enough to know everything...

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46
    После выполнения скриптов "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" карантин был пустым.

    Сейчас сижу без интернета, потому что не могу подключиться к проксе, хотя сетевые диски видны.

  13. #9
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46
    Я так понимаю, вот это ещё кусок заразы:
    C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe

    Лог прилагаю.
    Вложения Вложения
    • Тип файла: log gmer.log (21.0 Кб, 7 просмотров)

  14. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe ','');
     DeleteFile('C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe ');
    DeleteFileMask('C:\RECYCLER', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Повторите лог gmer
    Paula rhei.
    Поддержать проект можно тут

  15. Это понравилось:


  16. #11
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46
    Спасибо за помощь. Процесс вроде исчез из диспетчера задач, но DHCP не арендует мне IP адрес. Подскажите, это может быть последствиями руткита???


    P.S.
    Скажу только, чтобы не вводить в заблуждение, что перед выполнением AVZ я выполнил в gmer команду:

    gmer.exe -del ADS C:\RECYCLER\S-1-5-21-2507870052-2435840356-2858865850-6897\Dc44:1506739289.exe
    Вложения Вложения

  17. #12
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46
    Ребята, отпишитесь, плз, чтобы уж закрыть вопрос. Или винду переустанавливать, или можно без этого обойтись.

  18. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от rublanin Посмотреть сообщение
    DHCP не арендует мне IP адрес
    Может, просто перезагрузить DHCP-сервер (роутер)?
    I am not young enough to know everything...

  19. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог TDSSkiller сделайте. У Вас ZAccess живет
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #15
    Junior Member Репутация
    Регистрация
    01.09.2011
    Сообщений
    12
    Вес репутации
    46
    Всем спасибо.
    To thyrex: Да, по симптомам это скорее всего MAX++ (он же ZeroAccess).
    Проблему решил переустановкой системы (просто надо было быстрее, так как комп рабочий)

  21. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\2801479846:1506739289.exe:$data - Backdoor.Win32.ZAccess.ob ( DrWEB: BackDoor.Maxplus.24, BitDefender: Trojan.Generic.6454905, NOD32: Win32/Sirefef.CT trojan, AVAST4: Win32:Tiny-AMB [Rtk] )


  • Уважаемый(ая) rublanin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.Siggen.46239
      От fops2 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 04.07.2012, 11:31
    2. Backdoor.Siggen.46239
      От Александр Похабов в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.06.2012, 10:52
    3. BackDoor.Siggen.25905 и так деалее
      От nip в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.10.2010, 10:06
    4. BackDoor.Siggen.26397
      От Inngrid в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.09.2010, 23:13
    5. zjoididnhs9.sys (BackDoor.Siggen.7537)
      От Right-Demian в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.02.2010, 23:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00848 seconds with 20 queries