Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Заражена сеть. превратилась в ботнет. никто не знает как лечить. [Backdoor.Win32.Tiny.dc ] (заявка № 191524)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5

    Заражена сеть. превратилась в ботнет. никто не знает как лечить. [Backdoor.Win32.Tiny.dc ]

    Добрый день
    есть сеть, порядка 100 серверов. Операционные системы от windows XP до Windows 12 всех редакций.
    Установлено антивирусное ПО Symantec Endpoint.
    В один прекрасный момент заметил что заражена вся сеть. Симптомов внешне нет. Заметил когда на одном сервере рухнула служба брандмауера, полез в службы и увидел там хаос.
    После анализа всего понял следующее вирус запускается от имени пользователя или админа (всегда по разному) распространяет себя по локальной сети через DCOM процессы. Создает файл со случайным именем в C:\windows и создает службы со случайными именами, которые ссылаются на этот файл. После выполнения этот файл удаляют. После этого система внешне чистая, кроме списка служб.
    После заражения процесс svchost.exe лезет в интернет на сеть 85.93.5.0/24 (80 порт) и шлет туда пакеты по 1 кбайт, так же начинает себя распространять по сети на остальные сервера.
    Удаление/переименование файла svchost.exe ничего не дает, система его восстанавливает и он продолжает дальше лезть на внешний ИП.
    Пробовал восстанавливать системные файлы с дистрибутива операционки. Эффект тот же самый.
    На cisco запретил конекты на эту сеть, но он пытается постоянно отправить туда пакеты.
    Симантек отказывается признавать это вирусом и единственная рекомендация это блокировать трафик.
    Информация о файле на вирустотал (на который ссылаются службы)
    https://www.virustotal.com/ru/file/7...fa51/analysis/
    Все логи готов предоставить, очень нужна помощь.
    p.s. большинство антивирусов его не видит. даже в безопасном режиме.
    Вложения Вложения
    Последний раз редактировалось norlest; 19.10.2015 в 18:02.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) norlest, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,452
    Вес репутации
    2914
    Прислать вредоноса можете?

    + Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    Могу прислать файл на который ссылаются службы. восстановил из бэкапа. куда слать?
    Завтра запущу сканирование.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,452
    Вес репутации
    2914
    Цитата Сообщение от norlest Посмотреть сообщение
    куда слать?
    Заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    прикрепил. как я и говорил сканирование ничего не дало, он не видит его
    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Дата проверки: 21.10.2015
    Время проверки: 14:30
    Файл журнала: scan-pdc.txt
    Администратор: Да

    Версия: 2.2.0.1024
    База данных вредоносных программ: v2015.10.21.03
    База данных руткитов: v2015.10.16.01
    Лицензия: Ознакомительная версия
    Защита от вредоносных программ: Включено
    Защита от вредоносных веб-сайтов: Включено
    Самозащита: Выключено

    ОС: Windows Server 2008 R2 Service Pack 1
    Процессор: x64
    Файловая система: NTFS
    Пользователь: mike

    Тип проверки: Выборочная проверка
    Результат: Завершено
    Проверено объектов: 777385
    Затраченное время: 1 ч, 59 мин, 39 с

    Память: Включено
    Автозагрузка: Включено
    Файловая система: Включено
    Архивы: Включено
    Руткиты: Включено
    Эвристика: Включено
    PUP: Включено
    PUM: Включено

    Процессы: 0
    (Вредоносные программы не обнаружены)

    Модули: 0
    (Вредоносные программы не обнаружены)

    Разделы реестра: 0
    (Вредоносные программы не обнаружены)

    Значения реестра: 0
    (Вредоносные программы не обнаружены)

    Данные реестра: 0
    (Вредоносные программы не обнаружены)

    Папки: 0
    (Вредоносные программы не обнаружены)

    Файлы: 0
    (Вредоносные программы не обнаружены)

    Физические сектора: 0
    (Вредоносные программы не обнаружены)


    (end)



    Кусок лога циски

    cisco#sh log | i 85.93.5
    Oct 21 11:28:31: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.16(58374) -> 85.93.5.88(80), 1 packet
    Oct 21 11:28:33: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.33(61426) -> 85.93.5.88(80), 1 packet
    Oct 21 11:28:57: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.14(57730) -> 85.93.5.88(80), 1 packet
    Oct 21 11:30:27: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.5(61908) -> 85.93.5.88(80), 1 packet
    Oct 21 11:31:42: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.70(52328) -> 85.93.5.88(80), 1 packet
    Oct 21 11:31:47: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.105(1907) -> 85.93.5.88(80), 1 packet
    Oct 21 11:32:01: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.201(51369) -> 85.93.5.88(80), 1 packet
    Oct 21 11:33:40: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.65(56911) -> 85.93.5.88(80), 1 packet
    Oct 21 11:33:54: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.30(52141) -> 85.93.5.88(80), 1 packet
    Oct 21 11:34:21: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.81(18990) -> 85.93.5.88(80), 1 packet
    Oct 21 11:34:24: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.6(6791) -> 85.93.5.88(80), 1 packet
    Oct 21 11:34:38: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.15(61050) -> 85.93.5.88(80), 1 packet
    Oct 21 11:34:41: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.25(49206) -> 85.93.5.88(80), 1 packet
    Oct 21 11:34:52: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.46(56707) -> 85.93.5.88(80), 1 packet
    Oct 21 11:36:29: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.68(53466) -> 85.93.5.88(80), 1 packet
    Oct 21 11:36:51: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.102(1150) -> 85.93.5.88(80), 1 packet
    Oct 21 11:37:02: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.34(57897) -> 85.93.5.88(80), 1 packet
    Oct 21 11:37:06: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.52(1286) -> 85.93.5.88(80), 1 packet
    Oct 21 11:38:34: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.168(52074) -> 85.93.5.88(80), 1 packet
    Oct 21 11:38:42: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.218(4403) -> 85.93.5.88(80), 1 packet
    Oct 21 11:38:55: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.207(3720) -> 85.93.5.88(80), 1 packet
    Oct 21 11:39:23: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.49(52516) -> 85.93.5.88(80), 1 packet
    Oct 21 11:39:51: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.215(3880) -> 85.93.5.88(80), 1 packet
    Oct 21 11:40:23: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.192(63604) -> 85.93.5.88(80), 1 packet
    Oct 21 11:40:26: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.232(1089) -> 85.93.5.88(80), 1 packet
    Oct 21 11:40:41: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.205(58335) -> 85.93.5.88(80), 1 packet
    Oct 21 11:41:58: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.27(59403) -> 85.93.5.88(80), 1 packet
    Oct 21 11:42:04: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.47(60745) -> 85.93.5.88(80), 1 packet
    Oct 21 11:42:12: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.16(58398) -> 85.93.5.88(80), 1 packet
    Oct 21 11:42:32: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.42(50288) -> 85.93.5.88(80), 1 packet
    Oct 21 11:42:34: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.47(60745) -> 85.93.5.88(80), 1 packet
    Oct 21 11:42:55: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.33(61447) -> 85.93.5.88(80), 1 packet
    Oct 21 11:43:31: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.14(57885) -> 85.93.5.88(80), 1 packet
    Oct 21 11:45:05: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.5(62022) -> 85.93.5.88(80), 1 packet
    Oct 21 11:45:24: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.105(1949) -> 85.93.5.88(80), 1 packet
    Oct 21 11:45:37: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.70(52335) -> 85.93.5.88(80), 1 packet
    Oct 21 11:46:16: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.201(51391) -> 85.93.5.88(80), 1 packet
    Oct 21 11:47:11: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.65(57289) -> 85.93.5.88(80), 1 packet
    Oct 21 11:47:52: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.6(52619) -> 85.93.5.88(80), 1 packet
    Последний раз редактировалось mrak74; 22.10.2015 в 17:15.

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,073
    Вес репутации
    443
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  9. #8
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    сделал. но он не помещается по размеру чтобы его прикрепить, даже заархивированный. что делать?

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,452
    Вес репутации
    2914
    Выложите на rghost.ru и пришлите ссылку

    Ответ из вирлаба Лаборатории Касперского
    В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
    Его детектирование будет включено в очередное обновление антивирусных баз.
    Благодарим за оказанную помощь.

    3825889043A.exe, 852F1A1D.exe - Backdoor.Win32.Tiny.dc
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,073
    Вес репутации
    443
    Цитата Сообщение от norlest Посмотреть сообщение
    сделал. но он не помещается по размеру чтобы его прикрепить, даже заархивированный. что делать?
    http://rghost.ru/ - закиньте на файлообменник, ссылку с результатом загрузки опубликуйте в следующем сообщении.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  12. #11
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    http://rghost.ru/8p9JQbDRz пароль на скачивание virus
    Забавно, а меня касперский проигнорировал. я ему посылал это файл.
    То что он включил в базы это конечно замечательно. теперь будет удаляться этот файл. Но как лечить зараженный компьютер пока непонятно.
    Я так понимаю подменяются системные DLL раз такие интересные вещи он творит.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Сделайте лог Gmer.

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    WBR,
    Vadim

  14. Vvvyg получил(а) благодарность за это сообщение от


  15. #13
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    По ссылке:
    Такой страницы нет.
    Страница могла существовать ранее, но снята с публикации.

    Где скачать эту утилиту?

  16. #14
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,073
    Вес репутации
    443
    http://support.kaspersky.ru/viruses/disinfection/5350

    - - - - -Добавлено - - - - -

    Правила

    information

    Уведомление

    * Если у Вас несколько инфицированных операционных систем или компьютеров, то Вам следует оформлять каждую систему отдельным запросом.



    Просьба, 1 тема = 1 ПК.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  17. #15
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    я все логи собираю с одного сервера. у всех серверов симптомы одинаковы.
    Создавать темы на каждый сервер думаю не стоит. у меня около 100 серверов.
    Утилиту запустил. Ничего не нашла. Пускал со всеми параметрами.
    Лог прикрепил.
    gmer log тоже
    Вложения Вложения
    Последний раз редактировалось norlest; 22.10.2015 в 15:43.

  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Gmer я ещё просил.
    WBR,
    Vadim

  19. #17
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    в предыдущем сообщении прикрепил

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Есть возможность сделать полный образ автозапуска uVS из безопасного режима?
    WBR,
    Vadim

  21. #19
    Junior Member Репутация
    Регистрация
    19.10.2015
    Сообщений
    16
    Вес репутации
    5
    http://rghost.ru/download/6TJBZdndW/...d7/PDC_sec.zip

    Сделал. пароль: virus

  22. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.86.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    zoo %SystemRoot%\F1DA5145.EXE
    delall %SystemRoot%\F1DA5145.EXE
    Перезагрузите сервер.

    Упакуйте содержимое папки ZOO (если она не пуста) с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Сделайте новый полный образ автозапуска uVS, можно из обычного режима.
    WBR,
    Vadim

  • Уважаемый(ая) norlest, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. сеть заражена Antivirusebola.com
      От ma666t в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.10.2014, 19:53
    2. заражена локальная сеть 2
      От sp5-8 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 08.02.2009, 03:19
    3. заражена локальная сеть
      От sp5-8 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 03.02.2009, 12:49
    4. заражена локальная сеть 3
      От sp5-8 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 01.02.2009, 23:15
    5. Локальная сеть заражена (kido.da)
      От Watcher в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.01.2009, 16:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01362 seconds with 23 queries