-
Junior Member
- Вес репутации
- 63
Массовая рассылка писем ...
Обноружил что в сети с адресным пространством 192.168.0.1-192.168.0.254 появился непонятный IP - 10.106.102.78 который быстро и эмоционально создал несколько десятков подключений по 25 порту. При блокировке этого IP Фаерволом посылка пакетов на 25 порт прекратилась, зато пошли попытки достучаиться до DNS- а
лог:
Wingate firewall hit report:
Time: 19.04.2006 16:42:06
Reason: Blackholed
Source MAC address: 00-17-31-B8-58-5A
Destination MAC address: 00-07-E9-45-85-16
Source IP address: 10.106.102.78 : 48000
Destination IP address: 192.168.0.2 : 53
Protocol: UDP
Time-to-live: 128
DNS op: DNS Lookup for qpppuqqq.com.
Методом перебора, я нашел зараженный компьютер.
Попытка запуска ДР-Вебера - уход в глухую перезагрузку.
Запуск AVZ - скрипт сбора и лечения - перезагрузка.
Остальные логи прилагаю.
Буду очень благодарен за помошь и объяснения - что за зверь страшный это..
Последний раз редактировалось alyen; 04.05.2008 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Riub44', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Riub44.sys');
BC_DeleteSvc('Riub44');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Riub44.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21726).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
И ещё пофиксите в HijackThis следующие строчки, если будут ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: atiddaxx - atiddaxx.dll (file missing)
-
P.S. Если будет резкая перезагрузка без сообщения об успешном выполении скрипта, то уберите первую строчку после begin.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
2Bratez
Первую строчку пришлось удалить - перезагружался.
Карантин закачал. Делаю логи
Результат загрузки
Файл сохранён как 080418_082245_virus_4808a0a5d0d4d.zip
Размер файла 313
MD5 a0d802e86a15813bb772dbdb091fee95
Файл закачан, спасибо!
-
-
-
Junior Member
- Вес репутации
- 63
Логи сделал..
С помощью АВЗ почемуто не архивируется файл.
Сархивировал вручную, выслал. Прошу прощения за тупизну - где ставить пароль не нашел.
Результат загрузки
Файл сохранён как080418_083548_virus_4808a3b4e97a2.zipРазмер файла116580MD5ef7832993c2265133cbaf3ac076f1bc0
Файл закачан, спасибо!
Последний раз редактировалось alyen; 04.05.2008 в 15:52.
-
Не удалился.
Сархивировал вручную, выслал.
А удалить вручную не получается?
Попробуем такой скрипт:
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Riub44\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Riub44');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Riub44.sys');
BC_Activate;
RebootWindows(true);
end.
Если система вдруг не запустится после скрипта - выбирайте последнюю удачную конфигурацию.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Вручную не нашел я его..
Сейчас скрипт выполнил. Похоже получилось.
Логи прикрепляю..
Проверил Dr-Web-ером. Запустился, нашел мерзотных вредителей
svc32_0.exeC:\DOCUME~1\akiselev\LOCALS~1\TempTrojan.Proxy.origin
svchost.exeC:\DOCUME~1\akiselev\LOCALS~1\Temp\0Trojan.PWS.LDPinch.3309
svchost.exeC:\DOCUME~1\akiselev\LOCALS~1\Temp\1Trojan.PWS.LDPinch.3309
svchost.exeC:\DOCUME~1\akiselev\LOCALS~1\Temp\3BackDoor.Bambalam
Их я удалил.. Осталось там еще что нибудь не подскажете ?
Последний раз редактировалось alyen; 04.05.2008 в 15:52.
-
Пинчи были!!! Придется менять все до исключения пароли.
И надо еще один лог сделать для порядка.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Для справки:
Riub44.sys - Rootkit.Win32.Agent.aic
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
PavelA
Пинчи были!!! Придется менять все до исключения пароли.
И надо еще один лог сделать для порядка.
Доброго дня.
Извиняюсь за задержку с ответом. Прикрепляю последние логи.
Есть еще вопрос
C:\Documents and Settings\akiselev\Local Settings\Temp\2 есть файл svchost.exe
ни АВЗ ни Др-Веб его не определяют .. но расположение его очень подозрительное.. .
его высылаю карантином.
Последний раз редактировалось alyen; 04.05.2008 в 15:52.
-
Файл будет проверен в лаборатории.
Для профилактики очистите полностью папку
C:\Documents and Settings\akiselev\Local Settings\Temp
это в любом случае только на пользу.
Добавлено через 1 минуту
В логах чисто.
Последний раз редактировалось Bratez; 21.04.2008 в 15:21.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Хорошо..Почищу.
Огромное вам спасибо за помощь.