I. Заражение. Произошло 22.12.07 примерно в 11:20 при открытии веб-страницы без антивирусной защиты, от имени учетной записи с правами Администратора. Первичное обнаружение вредоносных программ производилось антивирусом Касперского, выявлено:
После сообщения о том, что все опасные объекты обезврежены, антивирус обнаруживал: - вирус Email-Worm.Win32.Zhelatin.pd (файл _install.exe в различных местах на диске – около 1500 экземпляров) - в каталоге C:\WINDOWS\system32\ периодически появлялись файлы *.syz с троянской программой Rootkit.Win32.Agent.rt
II. Дальнейшее лечение вручную: - были удалены подозрительные запуски в разделе …Run реестра. - удален подозрительный сервис (vhosts.exe с англоязычным описанием, что это мол загрузчик обновлений Windows, влияющих на безопасность). - перемещены подозрительные файлы из каталогов system32 и system32\wsnpoem, это те файлы у которых время создания соответствует времени заражения.
III. Лечение утилитой SDFix. В два этапа. Перед вторым этапом восстановлены подозрительные файлы, перемещенные ранее вручную. Утилита SDFix обнаружила следующие вредоносные файлы:
Есть подозрения, что полностью все вредоносные программы не обнаружены. Если в безопасном режиме из папки system32\drivers переместить файл klin.sys (относится к антивирусу Касперского), то появляется невидимый ранее файл symavc32.sys этот файл недоступен для удаления и не ищется поиском в реестре. Это вызывает подозрения в наличии активного руткита. Я пожалуй исчерпал свои возможности. Прошу вашей помощи, и пользуясь случаем, поздравляю с наступающим Новым годом!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Результат загрузки
Файл сохранён как 071227_092319_virus_4773c36746951.zip
Размер файла 165197
MD5 ccd6e0e785b4b987a20ae95c1c05596c
Комментарии:
1. После выполнения скрипта Касперский нашел и удалил Yuk38.sys
2. C:\WINDOWS\system32\drivers\grmnusb.sys - предположительно USB-драйвер GPS навигатора Garmin
3. C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys - предположительно хвост от обвалившегося в первый запуск SDFix, по крайней мере у него в комплекте есть файл с таким названием
После выполнения скрипта открылся symavc32.sys
SDFix его обезвредил.
Касперский нашел Rootkit.Win32.Agent.qz в карантине AVZ и в C:\Documents and Settings\user\catchme.zip\symavc32.sys (по сути это есть карантин SDFix)
Касперскому запретил пока их удалять на тот случай, если Вы попросите выслать файлы.
Начал делать логи в соответствии с "правилами". Однако при выполнении первого скрипта (лечение и сбор сведений) утилита AVZ в процессе сканирования файлов вылетает без каких либо предупреждений. Это происходит также и в безопасном режиме. Остальные логи готов выложить, но если я правильно понял правила - без Вашего указания этого делать не следует.
Скрипт выполнен. При снятии логов (лечение и сбор информации) AVZ вылетает на сканировании дисков. Один раз вылетел в самом конце, а в протоколе при этом было множество ошибок чтения каталогов.
Что посоветуете?
Добавлено через 1 минуту
Электронными кошельками не пользуюсь. Сеть отключена сразу после заражения. Несколько раз сеть подключалась для загрузки обновлений Касперского.
Последний раз редактировалось Kroko.Dil; 28.12.2007 в 23:41.
Причина: Добавлено
Не ругайте чайника :-) Пробовал возможности AVZPM. И забыл вернуть на место. Теперь выгрузил драйвер. Первый лог снят успешно. Некоторые файлы с прямым чтением. Минут через 10 выложу все логи вместе. Еще раз прошу прощения...
влогах ничего зловредного ....
осталось только разобраться , что из єтого используется ...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Большое всем спасибо. Компьютер используется в домашней сети. Взаимодействие с остальными компьютерами:
1. Используется как принт-сервер
2. Используется как FTP-сервер
3. R-admin входящие и исходящие сеансы
Про службы почитаю и ненужные остановлю. Уберу права администратора. Поставлю софтверный файрвол в дополнение к маршрутизатору, который закрывает всю домашнюю сеть.
Можно ли выслать для проверки логи с еще двух компьютеров (компьютер родителей и ноутбук жены)?
Эту машину спасти не удалось... офис съехал, половина приложений при запуске на что то ругалась... Наверное это я SDFix-ом наворотил.
Поднял руку и резко опустил.
И переустановил винду. И уже половину софта переустановил.
Считаю, что ваша помощь была не напрасна, ведь удалось спасти все данные. Спасибо всем.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: