День добрый уважаемые! Прошу Вашей помощи. Есть небольшая сетка организации. Один сервак W2K3 R2 и десяток компов ХР SP3. Стоит везде ДрВеб 4.44, обновление ежедневное. На всех компах автообновление. Фаеры встроенные - только на ХР. Уж незнаю, как произошло заражение, но скорее всего через флеху - это дело безконтрольное... На двух компах заметил сообщения о вирусе Worm.Win32.Autolt - лечение невозожно - удален. После этого произвел чистку на всех компах посредством крайнего CureIt. Проверил и вычистил реестр от остатков. Вроде все нормуль, но.... инет повел себя странно. Некоторые сайты не открываются. Причем не обязательно с антивирусным направлением. К тому же ДрВеб обновляется без проблем. На сайт Касперского не зайти вообще. На сей глубокоуважаемый сайт пускает только на главную страницу. Ну и т.д. в том же духе. Провел поиски информации - подобными вещами "балуется" Kido. Начал планомерные поиски зверька с сервака. Результаты поражают: DrWeb-0, CureIt-0, AVPTool-0, AVZ-0, KKiller_v3.4.1-0, f-downadup-0, FixDwndp-0, AviraTool-0. Начали мучать подозрения - то ли лыжи не едут, то ли я..... Никаких длл, реестр не загажен, как в описываемых симптомах. Отключил DNS-клиент и 445 порт, пользовательские шары только на чтение, административные - вообще вырубил (правда после перезагрузки они опять восстанавливаются), остался только IPC$ - но он не удаляется... Потом запустил APS - на UDP-53 наблюдаются атаки по 5 мин с интервалом 30 мин с самого же себя, т.е. с 127.0.0.1 на 127.0.0.1:53 ... Пробывал исправить записи винсок32 с %SYSTEM%\... на явныные ссылки C:\WINDOWS\... Ошибки в AVZ по SPI\LSP уже не показывает, но инет отпал совсем. Делал сброс winsock и ip через Netsh.
Когда начал сканировать GMER в "Драйверах устройств не PnP" появляется драйвер aujasnkj (C:\Documents and Settings\Sysadmin\Local Settings\Temp\aujasnkj.sys). Но естественно по этому пути ничего нет. Также появляются записи в реестре о aujasnkj.После перзагрузки все исчезает. При сканировании RkU3.8.342.554 в логах появляется инфа о 4pJuC60p.sys вот только как выцепить его...? Снял с него дамп на всякий случай.
В общем тупик... Помогайте пожалуйста.
Последний раз редактировалось mdisel; 31.03.2009 в 15:48.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Логи надо делать с консоли.
Скачайте файл http://rapidshare.com/files/199106177/toto.pif (это более свежая версия AVZ, но в ней не обновляются базы). Сохраните его в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
К сожалению я управляю сейчас на дистанции. Но логи проверял и локальные - ничем не отличаются. Этот сервачек терминальный и по-этому неразбериха с путями (подставляется путь локального профиля). Попросил чела сделать проверку на месте. Лог прилагаю.
Зверек на все еще на месте и усиленно мутирует. Те службы зверька, о котрых я писал в первом посте уже не проявляются... В просмотре событий по системе появились такие записи:
-------------------------------------------------------
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7034
Дата: 31.03.2009
Время: 23:06:31
Пользователь: Н/Д
Компьютер: SRV-LIB01
Описание: Служба "1C1C6EDB" неожиданно прервана. Это произошло (раз): 1.
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 31.03.2009
Время: 23:06:40
Пользователь: SRV-LIB01\admin
Компьютер: SRV-LIB01
Описание: Служба "1DA22C68" успешно отправила управляющий элемент "запустить".
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7036
Дата: 31.03.2009
Время: 23:07:09
Пользователь: Н/Д
Компьютер: SRV-LIB01
Описание: Служба "1DA22C68" перешла в состояние "Работает".
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7036
Дата: 31.03.2009
Время: 23:07:11
Пользователь: Н/Д
Компьютер: SRV-LIB01
Описание: Служба "1DA22C68" перешла в состояние "Остановлена".
Тип события: Уведомление
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7035
Дата: 31.03.2009
Время: 23:07:11
Пользователь: SRV-LIB01\admin
Компьютер: SRV-LIB01
Описание: Служба "1DA22C68" успешно отправила управляющий элемент "остановить".
--------------------------------------------------------------
Естественно, таких служб не зарегистрировано...
Добавлено через 3 часа 45 минут
Повторюсь.
При сканировании RkU на закладке Drivers вижу ''левый'' as02C98z.sys (месторасположение как бы в темповой папке профиля пользователя)
Этого файла на диске нет. Снял с него дамп. Вчера было другое название у этого файла. При просмотре дампа через блокнот видно упоминание о DrWeb, имеются ключи реестра, которых на самом деле не видно...
Может выслать его вам? Я не спец в дампах, но может Вам будет понятнее???
Последний раз редактировалось mdisel; 01.04.2009 в 12:12.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: