Показано с 1 по 15 из 15.

Заражен шлюз. Ошибки SideBySide в системном журнале. (заявка № 119944)

  1. #1
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21

    Заражен шлюз. Ошибки SideBySide в системном журнале.

    День добрый.

    1. По анализу всяких логов вырисовывается картина, что шлюзовый комп был взломан в ночь с 30 апреля на 1 мая. Каким образом - еще не ясно. Но суть не в этом, а в том, что что-то на него подсадили. Похоже, что какой-то даунлодер.

    2. Данный факт прошел незамеченным, т.к. выходные, праздники и т.д. Зараженный шлюз работал пару дней нормально. Однако 2 мая после обновления винды я решил его перегрузить. Вот с этого момента и началось самое интересное.

    3. При перезагрузке несанкционированно были скачаны из Инета и установлены дополнительные программы. В результате:

    4. Система выдает предупреждение о сбое в службе или драйвере при перезагрузке.

    5. В системном журнале полно сообщений вида:

    Тип события: Ошибка
    Источник события: SideBySide
    Категория события: Отсутствует
    Код события: 59
    Дата: 04.05.2012
    Время: 9:51:27
    Пользователь: Н/Д
    Компьютер: GATESERVER01
    Описание: Generate Activation Context завершилась не удачно для C:\WINDOW5\system32\safesurf.exe. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
    .

    или

    Описание: Resolve Partial Assembly завершилась не удачно для Microsoft.VC80.CRT.mui. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
    .

    или

    Описание: Resolve Partial Assembly завершилась не удачно для Microsoft.Windows.Common-Controls. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
    .

    6. На шлюзе установлен NOD32, однако войти в агент управления невозможно: окно пустое без органов управления. Через некоторое время выдает ошибку обмена с ядром ekrnl и значок из трея вообще исчезает.

    7. Переустановить NOD32 невозможно, т.к. заблокированы некоторые ветви реестра, которые он пытается удалить при переустановке.

    8. Так же на шлюзе установлен сервер обновления вирусных баз NOD32, даже, вроде, работает. Однако, клиенты не могут подключиться к нему. Подключение отсутствует.

    9. KVRT обнаружил парочку adware, однако их удаление ситуацию не улучшило.

    10. Анализ автозапуска в AVZ и исключение некоторых подозрительных программ не помогло.

    11. Вручную удалил всякие странные процессы из системы (при этом они пытались самовосстанавливаться), переименовал их файлы и папки (искал по датам). Не помогло.

    12. AVZ с включенным AVZPM показывает большое число маскируемых процессов без имени. Но не совсем понятно, не принадлежат ли они сбойному ядру NOD32.

    13. AVZ ругается на заблокированные ключи "eamon", "eamonm", "ehdrv", "EhttpSrv", "ekrn" раздела HKLM\SYSTEM\CurrentControlSet\Services. Те же ключи заблокированы во всех копиях ControlSet. Эти ключи используются NOD32.
    Вложения Вложения
    Последний раз редактировалось Pochemuk; 04.05.2012 в 18:30.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Pochemuk, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    Эта зараза за сутки восстановила практически все удаленные папки и файлы. Подозреваю, что если что и не восстановила, то это к ней отношения не имеет. Часть исполнимых файлов уже в числе запущенных процессов. Сапопроизвольно запускаются некоторые мультимедийные сервисы.

    Среди восстановленных файлов такой вот текстовик:

    =========================================
    ENGLISH VERSION BELOW
    Если вы обнаружили этот файл, на вашем копьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap
    Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке http://go.jetswap.com/abuse.php?user...authkey=du76g4
    Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.

    If you found this file on your computer installed SafeSurf, designed for browsing by users of the system JetSwap
    If you own a computer and the program was installed without your consent or knowledge, go to http://go.jetswap.com/abuse.php?user...authkey=du76g4
    The user will be blocked and the program will be deleted from your computer. We apologize for the actions of one of our users who abuse the system.
    ==========================================

    Вот теперь думаю:

    1. Стоит ли переходить по ссылке?
    2. Поможет ли это?
    3. Каким образом он самовосстановился? Я же поменял все пароли, прикрыл все неиспользуемые порты.

    Новые логи прилагаю.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Файл C:\WINDOWS\system32\secort.cpl запакуйте с паролем virus и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    - Сделайте лог полного сканирования MBAM.

  6. #5
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    Я написал еще один пост днем, но он почему-то встал на модерацию и до сих пор не появился.

    Вкратце его содержание:

    Меньше чем через сутки практически все удаленные и переименованные файлы и папки были восстановлены. Многие из восттановленных исполнимых файлов в списке запущенных процессов. Некоторые мультимедийные службы сами запускаются после остановки.

    Среди восстановленных файлов есть такой текстовик:

    ===============
    Если вы обнаружили этот файл, на вашем копьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap
    Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке _h_t_t_p://******
    Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.
    ===============

    Теперь не знаю, стоит ли переходить, как ее мне подсадили и как ее восстановили, если я закрыл все неиспользуемые порты и сменил все пароли?

    Повторяю более свежие логи и привожу лог сканирования MBAM

    В файле C:\WINDOWS\system32\secort.cpl нет ничего интересного. Текстовая строка:

    "04.05.2012 ( 8:11:59)"

    Это, похоже, время одной из перезагрузок шлюза. Первой после очень основательной чистки ... Кажется, во время неё был удален прежний файл.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    Господа! Не хочу показаться занудой, но после праздников будет уже больше недели, как антивирус отказывается обновляться. А это чревато.

    Все логи приложил. Буду рад любой рекомендации ...

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    - Удалите в MBAM:
    Код:
    C:\WINDOWS\system32\gptsvc.exe (Trojan.Agent) -> 3628 -> Действие не было предпринято.
    
    HKLM\SYSTEM\CurrentControlSet\Services\ASP.NET_Runtime_AJAX (Trojan.Onlinegames) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\ACP.starter (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
    
    C:\WINDOWS\system32\gptsvc.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\OXAR0PYV\gptsvc[1].exe (Trojan.Agent) -> Действие не было предпринято.
    
    C:\WINDOWS\apsql.exe.old (Trojan.Onlinegames) -> Действие не было предпринято.
    C:\WINDOWS\Microsoft.NET.old\alg.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
    C:\WINDOWS\Microsoft.NET.old\wmosrvse.exe (Trojan.Onlinegames) -> Действие не было предпринято.
    C:\WINDOWS\srchasst\mui\debr.exe (Browswer.Hijacker) -> Действие не было предпринято.
    C:\WINDOWS\system32\gptsvc.exe.old (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\system32\gptsvcer.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\system32\gptsvcer.exe.old (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\system32\wmosrvse.exe.old (Trojan.Onlinegames) -> Действие не было предпринято.
    C:\WINDOWS\system32\dhcp\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\WINDOWS\ehome\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\WINDOWS\ehome.old\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\WINDOWS\java\trustlib\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\WINDOWS\addins.old\debr.exe (Browswer.Hijacker) -> Действие не было предпринято.
    C:\WINDOWS\system32\srvany.exe (Trojan.Onlinegames) -> Действие не было предпринято.
    C:\WINDOWS\system32\drivers\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
    Цитата Сообщение от Pochemuk Посмотреть сообщение
    Эта зараза за сутки восстановила практически все удаленные папки и файлы.
    Какие???

    Повторите все логи.

  9. #8
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    Цитата Сообщение от Techno Посмотреть сообщение
    Какие???
    А вот практически все, которые я переименовал, дописав расширение .old:

    C:\WINDOWS\system32\gptsvc.exe
    C:\WINDOWS\system32\gptsvcer.exe
    C:\WINDOWS\system32\qtu.exe
    C:\WINDOWS\system32\upsvsmr.exe
    C:\WINDOWS\system32\copet.cpl

    Папку C:\WINDOWS\ehome

    и т.д.

    Из логов видно, что удаление MBAM для gptsvc.exe почему-то не сработало, либо файл был восстановлен после перезагрузки.

    Ветви реестра по прежнему заблокированы, NOD32 не работают ни агент, ни сервер. Но ошибок SideBySide в логах стало заметно меньше.

    После лечения вылезло какое-то сообщение о неустранимой ошибке при попытке запуска какой-то службы. В следующий раз подробно опишу.

    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    mbam-log-2012-05-08 (22-45-05).txt
    hijackthis.log

  10. #9
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    Что только ни делал - толку чуть.

    Обнаружил, что после смены паролей кто-то сильно ломился по RDP, подбирая пароль. Сменил на всякий случай еще и порт.

    Ключи реестра разблокировать получилось. Просто не увидел, что в правах доступа кем-то были выставлены галки на запреты. Убрал галки, удалось переустановить NOD32 и даже обновление прошло. Но после перезагрузки опять клиенты отказываются подключаться к HTTP-серверу обновлений. Он просто не запускается!!!

    Периодически (не в момент перезагрузки, а в произвольные моменты) что-то восстанавливает файлы

    C:\WINDOWS\system32\gptsvc.exe
    C:\WINDOWS\system32\qtu.exe
    C:\WINDOWS\system32\upsvsmr.exe

    папку C:\WINDOWS\PeerNet с троянским файлом wscnrfy.exe и др., пишет какие-то файлы и папки в C:\Windows\Microsoft.NET\

    Кстати, в папке C:\WINDOWS\PeerNet находится подпапка temp\$drive_C%, которая, похоже является чем-то вроде виртуального диска для зловреда. Во всяком случае, это там он пытается находить какие-то программы, которые вызывают приведенные в первом посте ошибки журнала.

    Добавлено через 58 минут

    Путем танцевания с бубнами уговорил NOD32 обновляться.

    Но вот что делать со странными самовосстанавливающимися папками и файлами, в которых антивири распознают троянов.

    Эти файлы находятся, в основном, в C:\WINDOWS\System32\, некоторые в C:\WINDOWS\System32\drivers\ и C:\WINDOWS\System32\Com\, но так же создаются папки:

    C:\WINDOWS\PeerNet\
    C:\WINDOWS\ehome\ - несколько дней не восстанавливается, видимо я его "восстановителя" прибил
    C:\WINDOWS\System32\dhcp\ - тоже не восстанавливается уже 2 часа, но это ни о чем не говорит.

    В этих папках подпапки, похожие на виртуальные диски и папки, а так же исполнимые файлы:

    В C:\WINDOWS\ehome\ и C:\WINDOWS\System32\dhcp\ программы сканирования находят трояны производства SafeSurf (см. выше), а в C:\WINDOWS\PeerNet\ не находят, но выглядит она очень похоже по структуре и подозрительно.

    Добавлено через 7 часов 23 минуты

    Господа!!!

    Чувствую, придется систему переустанавливать.

    Вычистил всё, что возможно (подозрительное). Сразу после перезагрузки куча маскируемых процессов. Через 20 минут их уже в 3 раза больше и файлы/папки стертые восстановились.
    Последний раз редактировалось Pochemuk; 11.05.2012 в 00:04. Причина: Добавлено

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    На маскировку в логах АВЗ не обращайте внимания, это нормально для Вашей системы.

    MBAM что-нибудь находит?

  12. #11
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    MBAM находит только троян

    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\0XYB4LMV\gptsvc[1].exe

    Удаление ни к чему не приводит. После перезагрузки он восстанавливается. Кроме него так же в Инет-кэше видны файлы

    qtu[1].exe
    alt[1].bat
    wscntfy[1].oem
    upsvcmr[1].exe

    Все эти файлы восстанавливаются в System32 и другие папки при удалении.
    Последний раз редактировалось Pochemuk; 14.05.2012 в 14:31.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Цитата Сообщение от Pochemuk Посмотреть сообщение
    Все эти файлы восстанавливаются в System32 и другие папки при удалении.
    Возможно, заражены другие компьютеры в сети...

  14. #13
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    Цитата Сообщение от Techno Посмотреть сообщение
    Возможно, заражены другие компьютеры в сети...
    Ну что ж ... После переустановки ОСи узнаем ...

    Переустановлю - отпишусь.

  15. #14
    Junior Member Репутация
    Регистрация
    10.06.2011
    Сообщений
    14
    Вес репутации
    21
    Вчера переставили ОСь на шлюзе. Наблюдаем почти сутки. Ничего из указанных файлов и папок и восстановилось.

    Так что, версия о сетевом черве вряд ли состоятельна. К сожалению, истину мы теперь уже не узнаем ...

    Спасибо за помощь. Тема себя исчерпала.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,547
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Pochemuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. «Айдеко» соединила интернет-шлюз с криптосервером
      От CyberWriter в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 24.11.2011, 19:30
    2. Ответов: 1
      Последнее сообщение: 20.02.2010, 01:07
    3. Ошибки в журнале событий
      От Jacob в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 04.02.2010, 21:59
    4. Заразили шлюз
      От TYP в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 02:36
    5. Ответов: 7
      Последнее сообщение: 21.08.2008, 22:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00639 seconds with 22 queries