Показано с 1 по 20 из 20.

Подозрение на сокрытые вирусы (заявка № 15709)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60

    Thumbs up Подозрение на сокрытые вирусы


    I. Заражение. Произошло 22.12.07 примерно в 11:20 при открытии веб-страницы без антивирусной защиты, от имени учетной записи с правами Администратора. Первичное обнаружение вредоносных программ производилось антивирусом Касперского, выявлено:

    Trojan.Win32.Agent.dky
    Email-Worm.Win32.Mydoom.bj
    Trojan-Spy.Win32.Zbot.cb
    Rootkit.Win32.Agent.jj
    Email-Worm.Win32.Mydoom.bo
    Trojan.Win32.Pakes.brk
    Trojan-Downloader.Win32.Agent.erh
    Trojan-Downloader.Win32.Small.hgx
    Trojan-Downloader.Win32.Agent.ggt
    Trojan-Proxy.Win32.Agent.vf
    Rootkit.Win32.Agent.rt
    Trojan-Dropper.Win32.Agent.dgk
    Trojan-Spy.Win32.Webmoner.bw
    Trojan-Dropper.Win32.Agent.dgf
    Email-Worm.Win32.Zhelatin.pd

    После сообщения о том, что все опасные объекты обезврежены, антивирус обнаруживал:
    - вирус Email-Worm.Win32.Zhelatin.pd (файл _install.exe в различных местах на диске – около 1500 экземпляров)
    - в каталоге C:\WINDOWS\system32\ периодически появлялись файлы *.syz с троянской программой Rootkit.Win32.Agent.rt

    II. Дальнейшее лечение вручную:
    - были удалены подозрительные запуски в разделе …Run реестра.
    - удален подозрительный сервис (vhosts.exe с англоязычным описанием, что это мол загрузчик обновлений Windows, влияющих на безопасность).
    - перемещены подозрительные файлы из каталогов system32 и system32\wsnpoem, это те файлы у которых время создания соответствует времени заражения.

    III. Лечение утилитой SDFix. В два этапа. Перед вторым этапом восстановлены подозрительные файлы, перемещенные ранее вручную. Утилита SDFix обнаружила следующие вредоносные файлы:

    1)
    C:\WINDOWS\system32\drivers\ip6fw.sys (Original ip6fw.sys Restored)
    C:\WINDOWS\SYSTEM32\WRYTSPHG.TMP - Deleted
    C:\WINDOWS\system32\0_exception.nls - Deleted
    C:\WINDOWS\system32\svcp.csv - Deleted
    C:\WINDOWS\system32\winsub.xml - Deleted

    2)
    C:\WINDOWS\system32\L1D23.tmp.exe - Deleted
    C:\WINDOWS\system32\L92CA.tmp.exe - Deleted
    C:\WINDOWS\system32\LAE01.tmp.exe - Deleted
    C:\WINDOWS\system32\cssrss.exe - Deleted
    C:\WINDOWS\system32\vhosts.exe - Deleted
    C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
    C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted
    C:\WINDOWS\system32\wsnpoem\video.dll - Deleted

    Folder C:\WINDOWS\system32\wsnpoem – Removed

    После этого антивирус Касперского нашел вредоносные файлы, помещенные утилитой SDFix в бакап. Поэтому я полагаю, что ранее они были от него сокрыты.

    ---------------------------------------------------

    Есть подозрения, что полностью все вредоносные программы не обнаружены. Если в безопасном режиме из папки system32\drivers переместить файл klin.sys (относится к антивирусу Касперского), то появляется невидимый ранее файл symavc32.sys этот файл недоступен для удаления и не ищется поиском в реестре. Это вызывает подозрения в наличии активного руткита. Я пожалуй исчерпал свои возможности. Прошу вашей помощи, и пользуясь случаем, поздравляю с наступающим Новым годом!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    1.В avz выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\Yuk38.sys','');
     QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
     QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
     QuarantineFile('C:\WINDOWS\system32\drivers\system.exe','');
     QuarantineFile('C:\Documents and Settings\user\winmain.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ifp500.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\grmnusb.sys','');
     QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys','');
     QuarantineFile('Yuk38.sys','');
     QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
     QuarantineFile('c:\windows\system32\lvcomsx.exe','');
     DeleteFile('C:\Documents and Settings\user\winmain.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
     DeleteFile('C:\WINDOWS\system32\winlogon.scr');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    Благодарю за Ваш отклик!

    Результат загрузки
    Файл сохранён как 071227_092319_virus_4773c36746951.zip
    Размер файла 165197
    MD5 ccd6e0e785b4b987a20ae95c1c05596c

    Комментарии:
    1. После выполнения скрипта Касперский нашел и удалил Yuk38.sys
    2. C:\WINDOWS\system32\drivers\grmnusb.sys - предположительно USB-драйвер GPS навигатора Garmin
    3. C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys - предположительно хвост от обвалившегося в первый запуск SDFix, по крайней мере у него в комплекте есть файл с таким названием

  5. #4
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    После выполнения скрипта открылся symavc32.sys
    SDFix его обезвредил.
    Касперский нашел Rootkit.Win32.Agent.qz в карантине AVZ и в C:\Documents and Settings\user\catchme.zip\symavc32.sys (по сути это есть карантин SDFix)
    Касперскому запретил пока их удалять на тот случай, если Вы попросите выслать файлы.

    Начал делать логи в соответствии с "правилами". Однако при выполнении первого скрипта (лечение и сбор сведений) утилита AVZ в процессе сканирования файлов вылетает без каких либо предупреждений. Это происходит также и в безопасном режиме. Остальные логи готов выложить, но если я правильно понял правила - без Вашего указания этого делать не следует.

    Жду Ваших указаний.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\Program Files\Internet Explorer\SETUPAPI.dll Trojan-Spy.Win32.Webmoner.fs
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    меняйте пароли от кошельков ...
    повторите логи ....

  7. #6
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    Скрипт выполнен. При снятии логов (лечение и сбор информации) AVZ вылетает на сканировании дисков. Один раз вылетел в самом конце, а в протоколе при этом было множество ошибок чтения каталогов.

    Что посоветуете?

    Добавлено через 1 минуту

    Электронными кошельками не пользуюсь. Сеть отключена сразу после заражения. Несколько раз сеть подключалась для загрузки обновлений Касперского.
    Последний раз редактировалось Kroko.Dil; 28.12.2007 в 23:41. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Попробуйте переименовать avz.exe в test.com

  9. #8
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    С переименованным то же самое, вылетает. Достаточно ли двух последних логов? Или что то еще предпринять?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    вы антивирус отключаете ?

  11. #10
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    правой кнопкой по иконке
    выход

    в процессах avp исчезает

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Процесс исчезает, драйвер остаётся.

  13. #12
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    Не ругайте чайника :-) Пробовал возможности AVZPM. И забыл вернуть на место. Теперь выгрузил драйвер. Первый лог снят успешно. Некоторые файлы с прямым чтением. Минут через 10 выложу все логи вместе. Еще раз прошу прощения...

  14. #13
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    Высылаю логи
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\user\winmain.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Xrp73.sys');
     DeleteFile('C:\Documents and Settings\user\winmain.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
     DeleteFile('C:\WINDOWS\system32\winlogon.scr');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('catchme');
    BC_DeleteSvc('Xrp73');
    BC_Activate;
    RebootWindows(true);
    end.
    Добавлено через 30 секунд

    Повторите логи, начиная с п.10 правил.
    Последний раз редактировалось Bratez; 29.12.2007 в 03:00. Причина: Добавлено
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    Сделал
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    влогах ничего зловредного ....
    осталось только разобраться , что из єтого используется ...
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  18. #17
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    Большое всем спасибо. Компьютер используется в домашней сети. Взаимодействие с остальными компьютерами:

    1. Используется как принт-сервер
    2. Используется как FTP-сервер
    3. R-admin входящие и исходящие сеансы

    Про службы почитаю и ненужные остановлю. Уберу права администратора. Поставлю софтверный файрвол в дополнение к маршрутизатору, который закрывает всю домашнюю сеть.

    Можно ли выслать для проверки логи с еще двух компьютеров (компьютер родителей и ноутбук жены)?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Можно ли выслать для проверки логи с еще двух компьютеров
    Конечно можно, только для каждого ПК своя тема.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    32
    Вес репутации
    60
    Эту машину спасти не удалось... офис съехал, половина приложений при запуске на что то ругалась... Наверное это я SDFix-ом наворотил.
    Поднял руку и резко опустил.
    И переустановил винду. И уже половину софта переустановил.

    Считаю, что ваша помощь была не напрасна, ведь удалось спасти все данные. Спасибо всем.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\internet explorer\\setupapi.dll - Trojan-Spy.Win32.Webmoner.fs (DrWEB: Trojan.PWS.Webmonier.30)


  • Уважаемый(ая) Kroko.Dil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на вирусы
      От Кирсан в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.10.2010, 13:54
    2. Подозрение на вирусы!!!
      От legat71 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.09.2010, 19:34
    3. Подозрение на вирусы.
      От Xardas70336 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.03.2010, 15:48
    4. подозрение на вирусы
      От wheeller в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.10.2009, 21:35
    5. Подозрение на вирусы
      От Алла в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00820 seconds with 20 queries