-
При подключении к интернет, в корневом диске появляются exe файлы... [Trojan-Downloader.BAT.Ftp.mf, Trojan-Downloader.BAT.Small.aq]
Здравствуйте, помогите пожалуйста разобраться...
Суть проблемы состоит в следующем:
При подключении к сети интернет, на корневом диске (в данном случае C:\), волшебным образом появляются файлы exe c подозрительными названиями, вот например сейчас это boot2.exe, s2.exe, sh2.exe, xp2.exe,
постоянное удаление уже просто утомляет, в ходе проверки антивирусом kaspersky endpoit securety 10 выяснилось, что данные файлы не содержат вредоносного кода, однако, стали происходить удивительные вещи, компьютер стал постоянно "тормозить", стали появляться в большом количестве процессы ftp.exe, и в добавок ко всему, начались сетевые атаки с различных ip адресов, преимущественно из Китая, в ходе проверки программы ASP, было выявлено, что атаки направлены на порты 4899, 1433, 3306, 8080, 80 и т.д.
Применялись меры следующего плана: Перенос "зараженного" диска на другой компьютер, и полные проверки утилитами AVZ, Dr.Web CureIt, NOD32 scanner, было уничтожено несколько вирусов, троянов, однако, при установке жёсткого диска на место, и включении сети интернет, файлы появились снова....
Пока писал это сообщение, утилита ASP зафиксировала атаку на порт 21 и 8080...
Прошу вашей помощи и прикладываю логи...
Вложение 414906Вложение 414907Вложение 414908
Последний раз редактировалось mrak74; 07.01.2017 в 18:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) alex-uzer, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
логи...
Здравствуйте, выкладываю логи сделанные программой Malwarebytes Anti-Malware.
Вложение 415059
-
Удалите в MBAM всё, кроме:
Код:
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> 1100 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\Auslogics\Rescue\Boost Speed\130409143009921.rsc (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\MiniTool Partition Wizard Server Edition 7.8.rar (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\документы\Новая папка (3)\Windows Loader.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\документы\Multi_Password_Recovery_1.1.9_Portable\Multi_Password_Recovery_1.1.9_Portable\HookLib.dll (PUP.Hooker) -> Действие не было предпринято.
C:\Program Files\GetData\Recover My Files v4\armaccess.dll (Malware.Packer) -> Действие не было предпринято.
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
Сделайте логи RSIT.
Сделайте полный образ автозапуска uVS.
-
-
Последний раз редактировалось mrak74; 07.01.2017 в 18:30.
-
Выполните скрипт в uVS
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
offsgnsave
delref HTTP://START.FUNMOODS.COM/?F=2&A=IRON2&CHNL=IRON2&CD=2XZUYETN2Y1L1QZUTDYETDTDTDYETDTDTDYETDTDTATA0FZZTN0D0TZU0STBTDYBTN1L2XZUTBTFTCTFTCTFTATCTB&CR=456265956
delall %SystemDrive%\S2.EXE
delall %Sys32%\S2.EXE
delall %SystemDrive%\SADMINYANG01.EXE
delall %Sys32%\SADMINYANG01.EXE
delall %Sys32%\SSERVER.EXE
zoo %Sys32%\hexdll.exe
zoo %Sys32%\on1.exe
zoo %Sys32%\onf1.dat
zoo %Sys32%\onstartnet.exe
zoo %Sys32%\onfstartnet.dat
zoo %Sys32%\ontaskmgr.exe
zoo %Sys32%\onftaskmgr.dat
zoo %Sys32%\sadminyang01.exe
zoo %Sys32%\shadminyang01.exe
zoo %Sys32%\bootadminyang01.exe
zoo %Sys32%\xpadminyang01.exe
zoo %Sys32%\onf1234.dat
zoo %Sys32%\onfsnet.dat
zoo %Sys32%\hexsvchost.exe
zoo %Sys32%\onsvchost.exe
zoo %Sys32%\onfsvchost.dat
zoo %Sys32%\s2.exe
zoo %Sys32%\sh2.exe
zoo %Sys32%\boot2.exe
zoo %Sys32%\xp2.exe
zoo %Sys32%\svspauv.exe
zoo %SystemDrive%\boot2.exe
zoo %SystemDrive%\xp2.exe
zoo %Sys32%\SVDQZKM.EXE
zoo %Sys32%\s2.exe
; C:\WINDOWS\SYSTEM32\SVDQZKM.EXE
addsgn 2D33A8458AB593ADD40B716EF4A8FA05258AFCAEA4304C3985937C3357D671F723B782573D49B9C228B5139F4616C0F9FE1CEC90A782D1C7B8E7342FC7062273 8 Unknown.Hacktool
; C:\WINDOWS\SYSTEM32\SVWDKCA.EXE
; C:\WINDOWS\SYSTEM32\SVLMECB.EXE
; C:\WINDOWS\SYSTEM32\SVGIHFU.EXE
; C:\WINDOWS\SYSTEM32\SVSPAUV.EXE
chklst
delvir
delall %Sys32%\hexdll.exe
delall %Sys32%\on1.exe
delall %Sys32%\onf1.dat
delall %Sys32%\onstartnet.exe
delall %Sys32%\onfstartnet.dat
delall %Sys32%\ontaskmgr.exe
delall %Sys32%\onftaskmgr.dat
delall %Sys32%\sadminyang01.exe
delall %Sys32%\shadminyang01.exe
delall %Sys32%\bootadminyang01.exe
delall %Sys32%\xpadminyang01.exe
delall %Sys32%\onf1234.dat
delall %Sys32%\onfsnet.dat
delall %Sys32%\hexsvchost.exe
delall %Sys32%\onsvchost.exe
delall %Sys32%\onfsvchost.dat
delall %Sys32%\s2.exe
delall %Sys32%\sh2.exe
delall %Sys32%\boot2.exe
delall %Sys32%\xp2.exe
delall %Sys32%\svspauv.exe
delall %SystemDrive%\boot2.exe
delall %SystemDrive%\xp2.exe
delall %Sys32%\SVDQZKM.EXE
delall %Sys32%\s2.exe
exec C:\PROGRAM FILES\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE
deltmp
czoo
restart
На вопросы об удалении программ соглашайтесь.
Компьютер перезагрузится.
Из-за большого размера карантин обычным образом загрузить не удастся, поэтому сделайте так.
В папке с uVS появится архив 7z с именем, начинающимся с ZOO_ и далее из даты и времени, выложите его на файлообменник, например, rghost.ru, и дайте ссылку в личном сообщении.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в окошке с датой под главным меню установите галочку и дату 15.04.2013. Далее - "Файл" -> "Добавить в список все исполняемые файлы в каталогах не старше указанной даты...", после того, как список будет создан - Файл" -> "Сохранить полный образ автозапуска". Прикрепите файл с образом к своему следующему сообщению (если нет места для вложений - на rghost.ru и ссылку).
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.
+ к найденному обязательно обновите Java до Java 7 Update 21, в более ранних версиях снова серьёзные дыры.
И маленький вопросник по безопасности.
Как организован выход в интернет - через роутер, напрямую?
Если через роутер - включен ли в нём файрвол? Есть ли перенаправление портов на атакуемый компьютер.
Включен ли брандмауэр на компьютере, если да, какие порты открыты для доступа из интернета?
К MS SQL Server нужен доступ только из локальной сети, или снаружи тоже подключаются?
Для профилактики смените пароли администратора на компьютере и на SQL Server.
-
-
логи...
Здравствуйте, выкладываю логи сделанные программами...
ссылку на второй лог отправил в ЛС
все пакеты исправлений(обновлений) были поставлены согласно инструкции...
Ответ на вопрос заданный в последнем сообщении:
Доступ в интернет организован через АДСЛ модем, в настройках имеется строчка security, далее указано
MAC Filtering Global Policy: FORWARDED, я так полагаю, так организованна политика безопасности, Брандмауэр в windows выключен, по нескольким причинам: 1. Используется DHTP сервер и динамическими ip адресами, 2 используется программа аудит_эксперт, которая в свою очередь использует статические ip адреса, и сервер guardant, физический ключ на 5 клиентов и Kaspersky Endpoint Security контролирует все порты.
Что касается доступа к MS SQL Server, нужен только локальный, из интернет нет необходимости...
P.S.
На локальном диске С:\ так и лежат следующие файлы: созданные 17.04.2013
bootadminyang01.exe, xpadminyang01.exe, shadminyang01.exe, и файлы созданные 19.04.2013 hexdll.exe,
sh2.exe... И может не существенный факт, но КриптоПро, 2 значка в панели задач...
Последний раз редактировалось mrak74; 26.04.2013 в 10:19.
-
Всё наоборот сделали, ссылку на лог надо было сюда, а на карантин - в ЛС...
exe-файлы в корне диска C: удалите вручную.
Сделайте лог MiniToolBox при подключённом интернете.
Сделайте новый лог RSIT.
Выполните скрипт в uVS:
Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\NTHELP.SYS
delall %Sys32%\NTHELP.SYS
delall %Sys32%\SSVCHOST.EXE
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
- - - Добавлено - - -
Java обновите до 21-го билда.
Брандмауэр я всё же рекомендовал бы соответствующим образом настроить и включить. Троян, который подсаживали китайские братья, пока антивирус Касперского не детектирует: https://www.virustotal.com/ru/file/b...is/1366603645/
-
-
логи...
Здравствуйте, к делу...
Ссылку на файл ZOO_2013-04-22_08-34-00.7z, удалил...
Файлы в ехе в корне диска удалил, однако при подключении к сети интернет, во время снятия логов, там же в корне диска появился файл hexvjyk.exe, с ярлыком "избранное", хотя касперский его увидел...
карантин упаковал, пароль выставил, файл отправил...
выкладываю логи...
Вложение 415748
Вложение 415749
Вложение 415750
Java обновил до 21-го билда...
буду ждать дальнейших указаний...
-
Всё так же, в папке C:\WINDOWS\system32\ полно свежих "подарков" Пока не закроете доступ из интернета на все порты, которые не нужны для работы, удалять их смысла нет, это всё равно, что воду из дырявой лодки вычёрпывать.
Настраивайте межсетевой экран и проактивную защиту в Kaspersky Endpoint Security. ADSL-модем работает в режиме бриджа, авторизация на компьютере. По-хорошему надо её делать на модеме, включать NAT, файрволл, проброс нужных портов - была бы дополнительная аппаратная защита. Совет - наймите специалиста, который всё это настроит, если сами не можете. Просто давить подсовываемых троянов в текущей ситуации неэффективно и бесперспективно...
-
-
отчёт
Здравствуйте, к вопросу по безопасности...
Настроил и включил брандмауэр, настроил KES 10, сегодня был найден "Удалено троянская программа Backdoor.Win32.Agent.dbtd C:\WINDOWS\system32\hexsvchost.exe"
Сейчас проведу полную проверку KES 10, подниму NAT и настрою модем...
Все необходимые программы, были настроены, на получение доступа в интернет и сеть LAN...
Включил автоматическое обновление системы...
И теперь вопрос к Вам, возьмётесь ли вы за него повторно, с целью, выявления скрытых процессов, и уничтожения "хвостов".
-
Да, как закончите проверку, сделайте лог Rsit, только выставьте в программе проверку файлов за последний месяц.
-
-
логи...
Здравствуйте, после полной проверки, ничего не было найдено, странно...
Потому, как вы сказали, что "подарков" порядком в windows...
Как бы там ни было, выкладываю логи:
Вложение 416088
Вложение 416089
выкладываю, архивом т.к. файл лог имеет, большой вес (
-
То, что с 23-го апреля новых подарков в системных папках нет, хороший знак. Подчистим оставшееся.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantineEx(True);
QuarantineFile('C:\WINDOWS\system32\onserver.exe','');
QuarantineFile('C:\WINDOWS\system32\onsldss.exe','');
QuarantineFile('C:\WINDOWS\system32\onmpo.exe','');
QuarantineFile('C:\WINDOWS\system32\onsvchost1.exe','');
QuarantineFile('C:\WINDOWS\system32\on360sy.exe','');
QuarantineFile('C:\WINDOWS\system32\on360sb.exe','');
QuarantineFile('C:\WINDOWS\system32\shwinrc.exe','');
QuarantineFile('C:\WINDOWS\system32\swinrc.exe','');
QuarantineFile('C:\WINDOWS\system32\hexwinrc.exe','');
QuarantineFile('C:\WINDOWS\system32\on1.exe','');
QuarantineFile('C:\WINDOWS\system32\hextears.exe','');
QuarantineFile('C:\WINDOWS\system32\onsvchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sh2.exe','');
QuarantineFile('C:\WINDOWS\system32\s2.exe','');
QuarantineFile('C:\WINDOWS\system32\on58.exe','');
QuarantineFile('C:\WINDOWS\system32\onhello.exe','');
QuarantineFile('C:\WINDOWS\system32\shhello.exe','');
QuarantineFile('C:\WINDOWS\system32\shello.exe','');
QuarantineFile('C:\WINDOWS\system32\onfnet2.dat','');
QuarantineFile('C:\WINDOWS\system32\shnet2.0.exe','');
QuarantineFile('C:\WINDOWS\system32\oncy.exe','');
QuarantineFile('C:\WINDOWS\system32\onnet2.0.exe','');
QuarantineFileF('C:\WINDOWS\system32', '*.tmp', false,'', 0, 0, '', '', '');
DeleteFile('C:\WINDOWS\system32\onfhello.dat');
DeleteFile('C:\WINDOWS\system32\onserver.exe');
DeleteFile('C:\WINDOWS\system32\onsldss.exe');
DeleteFile('C:\WINDOWS\system32\onmpo.exe');
DeleteFile('C:\WINDOWS\system32\onsvchost1.exe');
DeleteFile('C:\WINDOWS\system32\on360sy.exe');
DeleteFile('C:\WINDOWS\system32\on360sb.exe');
DeleteFile('C:\WINDOWS\system32\shwinrc.exe');
DeleteFile('C:\WINDOWS\system32\swinrc.exe');
DeleteFile('C:\WINDOWS\system32\hexwinrc.exe');
DeleteFile('C:\WINDOWS\system32\on1.exe');
DeleteFile('C:\WINDOWS\system32\hextears.exe');
DeleteFile('C:\WINDOWS\system32\onsvchost.exe');
DeleteFile('C:\WINDOWS\system32\sh2.exe');
DeleteFile('C:\WINDOWS\system32\s2.exe');
DeleteFile('C:\WINDOWS\system32\on58.exe');
DeleteFile('C:\WINDOWS\system32\onhello.exe');
DeleteFile('C:\WINDOWS\system32\shhello.exe');
DeleteFile('C:\WINDOWS\system32\shello.exe');
DeleteFile('C:\WINDOWS\system32\onfnet2.dat');
DeleteFile('C:\WINDOWS\system32\shnet2.0.exe');
DeleteFile('C:\WINDOWS\system32\oncy.exe');
DeleteFile('C:\WINDOWS\system32\onnet2.0.exe');
DeleteFileMask('C:\WINDOWS\system32', '*.tmp', false);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Следите, не будет ли рецидива.
-
-
отчёт
Здравствуйте, карантин направил,
файлы вроде не появляются,
компьютер стал работать на много лучше,
сканирование программы XSpider 7.7, на DOS-атаки,
показало, что открытых портов осталось 8,
из них 1 использует, сама программа
вот хотелось бы, ещё уязвимость Buffer Overrun in MDAC Function Could Allow Code Execution (832483) закрыть,
а так пока тихо )
-
Здравствуйте, рапортую, рецидива более не наблюдалось, полагаю тему можно закрывать, спасибо вам...
-
Сообщение от
alex-uzer
вот хотелось бы, ещё уязвимость Buffer Overrun in MDAC Function Could Allow Code Execution (832483) закрыть,
Установите Исправление неполадки безопасности компонентов доступа к данным Microsoft Data Access Components (MDAC) MS04-003, но, возможно, это ложное срабатывание XSpider.
- - - Добавлено - - -
Выполните рекомендации после лечения.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- \\onfsnet.dat._6cc474ce781796f0a865fb2b943208d79f6 36532 - Trojan-Downloader.BAT.Small.aq ( DrWEB: BAT.DownLoader.58, BitDefender: Trojan.Downloader.Bat.Ftp.DY )
- \\onfstartnet.dat._23d7357488e0776c369b6a66977bdc7 09427e749 - Trojan-Downloader.BAT.Small.aq ( DrWEB: BAT.DownLoader.58, BitDefender: Trojan.Downloader.Bat.Ftp.DY )
- \\onfsvchost.dat._55c9b72ef9b111af591a41d7fbf941d2 c0d07ff7 - Trojan-Downloader.BAT.Small.aq ( DrWEB: BAT.DownLoader.58 )
- \\onftaskmgr.dat._b1d0054950d57ff3b807ca92c8edb4c2 7301e961 - Trojan-Downloader.BAT.Small.aq ( DrWEB: BAT.DownLoader.58, BitDefender: Trojan.Downloader.Bat.Ftp.DY )
- \\onf1.dat._bfdaf095b539498cb2d1e6f259bde0af9322e0 4c - Trojan-Downloader.BAT.Ftp.mf ( DrWEB: BAT.DownLoader.58, BitDefender: Trojan.BAT.Downloader.BX )
- \\onf1234.dat._7dfb705377ce4d477104f3d85624fc2581b ddd0f - Trojan-Downloader.BAT.Ftp.mf ( DrWEB: BAT.DownLoader.58 )
-