Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 36.

Backdoor.Win32.HacDef.b (заявка № 4428)

  1. #1
    Junior Member Репутация
    Регистрация
    21.12.2005
    Сообщений
    20
    Вес репутации
    41

    Backdoor.Win32.HacDef.b

    Доброго времени суток.
    На прокси-сервере win2k стоит кав4.0.5.13 (это не МОЙ выбор, он уже 2 года стоит) со свежими и расширенными базами. Как-то после проверки всплыл кусок Backdoor.Win32.HacDef.b (файл isplogger.sys). Как и ожидалось, файл спокойно удаляется и так же спокойно обнаруживается после перезагрузки. АВЗ обнаружил только скрытые процессы (isplog.exe, UpDate.exe, dmclih.exe). Если кто знает, как эту заразу вылечить - скинте рецептик. Если готового рецепта нет, то через пару дней скину логи. Через пару, т.к. перегружать сервак довольно сложно. И еще один пункт, не понял, как создать нормальный протокол, т.к. после во время проверки АВЗ счастливо закрывается (на пункте 3 при проверке папки WINNT, и похоже что аварийно). Базы, естественно, обновлял.
    Последний раз редактировалось MadRat; 11.01.2006 в 15:35.

  2. Реклама
     

  3. #2
    Geser
    Guest
    Не нужно перегружать. Сделай то что написано после "Если проблема не исчезла, то:" начиная с пункта 5

  4. #3
    Junior Member Репутация
    Регистрация
    21.12.2005
    Сообщений
    20
    Вес репутации
    41
    Цитата Сообщение от Geser
    Не нужно перегружать. Сделай то что написано после "Если проблема не исчезла, то:" начиная с пункта 5
    тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?

  5. #4
    Geser
    Guest
    Цитата Сообщение от MadRat
    тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?
    Те что в прилажениях

  6. #5
    Junior Member Репутация
    Регистрация
    21.12.2005
    Сообщений
    20
    Вес репутации
    41
    и еще момент - все делаю из под RAdmin2.2
    Вложения Вложения

  7. #6
    Geser
    Guest
    Угу, короче так, на серваке похоже таки сидит руткит. Удалить его без перегрузки, насколько я понимаю, невозможно.

    Нужно сделать следующее:
    АВЗ->Параметры поиска->Поставить обе птички "Блокировать работу руткит" после этого вернуться в окно "Область поиска" и ничего не отмечая нажать "Пуск". По окончанию сканирования нужно не закрывая АВЗ
    1. Еще раз сделать лог исследованя системы.
    2. Пойти в Сервис->диспетчер процессов и прибить там процессы:
    C:\WINNT\system32\UpDate.exe
    C:\WINNT\system32\isplog.exe
    C:\WINNT\system32\dmclih.exe
    3. Эти файлы, обязательно при помощи АВЗ, найти и поместить в карантин, после чего выслать нам. Как искать файлы написано в правилах.

    Правда, после всего нужно сделать перегрузку. Так что или перегрузка, или жизнь с руткитом.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    в дополнение к перечисленным пришлите еще файл C:\WINNT\system32\isplogger.sys

  9. #8
    Junior Member Репутация
    Регистрация
    21.12.2005
    Сообщений
    20
    Вес репутации
    41
    АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]

    после чего, что характерно, в процессах эти файлы не наблюдаются

    что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные

  10. #9
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    [offtopic]полный аксес выолейшын ;-)))[/offtopic]

    Да давайте уже отключайте винт или грузитесь с компакта и грохайте файлы вручную. Система скомпрометирована. Чего ждем?

  11. #10
    Geser
    Guest
    Цитата Сообщение от MadRat
    АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]

    после чего, что характерно, в процессах эти файлы не наблюдаются

    что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные
    1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
    2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.

  12. #11
    Junior Member Репутация
    Регистрация
    21.12.2005
    Сообщений
    20
    Вес репутации
    41
    Цитата Сообщение от Xen
    [offtopic]полный аксес выолейшын ;-)))[/offtopic]

    Да давайте уже отключайте винт или грузитесь с компакта и грохайте файлы вручную. Система скомпрометирована. Чего ждем?
    это win2000serv
    на нем
    1 контроллер домена (второго нет)
    2 прокси сервер
    3 программный мост на 3 сетевухи
    4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
    5 все это стоит на зеркале.
    6 образ системы есть но двухгодичной давности
    7 я работаю тут только второй месяц, заражение произошло еще до меня
    8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).

  13. #12
    Geser
    Guest
    Цитата Сообщение от MadRat
    это win2000serv
    на нем
    1 контроллер домена (второго нет)
    2 прокси сервер
    3 программный мост на 3 сетевухи
    4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
    5 все это стоит на зеркале.
    6 образ системы есть но двухгодичной давности
    7 я работаю тут только второй месяц, заражение произошло еще до меня
    8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).
    Ну и? Ждешь пока хозяин руткита дистанционно сделает format c: ?

  14. #13
    Junior Member Репутация
    Регистрация
    21.12.2005
    Сообщений
    20
    Вес репутации
    41
    Цитата Сообщение от Geser
    1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
    2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.

    господа! простите ламера, но я никогда не работал с зеркалами.
    скинте ссылочку - как это работает.
    т.е. принцип действия я знаю и как поставить новое зеркало тож знаю (хоть и теоретически), но как на него накатить НОВУЮ систему (сверху, без форматирования) или образ системы, если массив еще и разделен на два логических диска.
    и как файлы из зеркала добыть? какой загрузочный диск нужен? стандартной дискеты хватит?

    лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от MadRat
    господа! простите ламера, но я никогда не работал с зеркалами.
    дааа... лечить зеркала на другом компе - это кирдык

    а компик что - никогда-никогда не перезагружается? у Вас контора круглосуточно работает?

    Цитата Сообщение от MadRat
    лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
    файл пока не пришел - надеюсь, отправляли с паролем?

    p.s. а не связана ли возникающая ошибка с работой из-под радмина?

  16. #15
    Geser
    Guest
    но как на него накатить НОВУЮ систему (сверху, без форматирования)
    Винда ставится как обычно. Можно поставить вторую на второй логический диск. Единственное что нужно - драйвер от DAID на дискетке который нужен будет в процессе инсталляции

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от MadRat
    это win2000serv
    на нем ...
    5 все это стоит на зеркале.
    Это несколько неудобнее, винт посто так не вытащишь, придётся тащить из инета ERD или собирать LiveCD с BartPE.
    Если Raid конечно софтовый, а если железный ещё наверное пригодится дискета с его драйверами.

  18. #17
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    Ага, вот сам говоришь, что вся документация хранится на инфицированной системе. Еще доводы нужны?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Всю информацию срочно скинуть на резервные носители. Не дай бог, и в самом деле отформатируют.

  20. #19
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    Да не отформатируют. А будут и дальше оставаться в курсе всех дел в конторе... Просто так что ли руткит зафигачили.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от MadRat
    лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
    пришел. троян. убивайте его AVZ из списка драйверов, возможно после этого полегчает с убиением процессов экзешников

  • Уважаемый(ая) MadRat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 06.10.2010, 23:31
    2. Ответов: 3
      Последнее сообщение: 11.02.2010, 21:00
    3. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    4. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00168 seconds with 23 queries