Показано с 1 по 16 из 16.

никак не избавиться от rootkit'ов и backdoor'ов (заявка № 53317)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54

    Exclamation никак не избавиться от rootkit'ов и backdoor'ов

    Добрый день, есть подозрения на вирусы по типу rootkit, никак не могу выловить окончательно. Система Win 2003 server r2. В логах системы (просмотр событий) заметил, что служба WinHttpAutoProxy то запускается, то останавливается по три/четыре раза за минуту. И так постоянно. Фаервол показывает исходящий трафик на какие-то непонятные "левые" ip-шники и адреса. Например 229.111.112.29, 231.0.0.1, ALL-SYSTEMS.MCAST.NET. Шквал DNS-запросов, трафик на всевозможные ближайшие DNS-сервера. В частности, на адрес 229.111.112.29 слал запросы файл javaw.exe, расположеный в папке с программой raidconsole (конфигурирование raid). Переименовал, убрал из папки - пакеты на 229.111.112.29 прекратились. По логам AVZ видно, что некий процесс dns.exe запущен на огромном количестве портов, как только выключаю службу DNS, эти порты освобождаются. Помогите выловить, пожалуйста, всю заразу с сервака. Все правила выполнил и логи приложил.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    Забыл добавить: файловый монитор Dr Web не запущен. Как будто блокируется руткитом.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Fleksik Посмотреть сообщение
    файловый монитор Dr Web не запущен.
    У вас точно серверная версия DrWeb?
    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  5. #4
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    Да версия Dr Web enterprise server 4.44

    Архив автокарантина послал.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Понятно, что серверная версия Enterprise Suite у вас есть.
    Для работы Spider на сервере нужна еще клиентская лицензия для сервера. Обратитесь в техподдержку Dr.Web .

  7. #6
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    Так с этим я разберусь. А с руткитами-то что делать? Я, собственно, ради этого и запостил. ДНС запросы растут в геометрической прогрессии просто.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Почему вы решили что у вас руткит?
    Запросы, ведь, приходят с других компьютеров.

  9. #8
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    В том-то и дело, что запросы идут с самого сервера. 14374 порта именно на самом сервере задействованы службой DNS (эта ситуация больше всего и напрягает). И как только я заблокировал фаерволом адреса dns-серверов провайдера, наряду с заблокированными запросами на эти сервера пошли запросы на другие ip-адреса именно с самого сервера.

    Добавлено через 14 минут

    Вот это тоже не добавляет оптимизма (((
    mod:::логи нужно прикреплять к сообщению, а не постить
    Добавлено через 11 минут

    Да и AVZ ругается красным на backdoor.starline на 50000 порту и на bacdore.kilo.0119 на 50829 порту

    Добавлено через 5 минут

    Файл сохранён как 090831_175401_virusinfo_files_GKDC_4a9bd5f9d5fbe.z ip

    Размер файла 18036639

    MD5 c3caadd82aad7d97c9cefb29816b2cfa
    Последний раз редактировалось Rene-gad; 01.09.2009 в 13:22. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Все присланные Вами файлы вне подозрений.
    Насчет маскировки - это особенность работы АВЗ на серверах.

  11. #10
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    А как же тогда вот эти товарищи: backdoor.starline, backdoor.kilo.0119? Это же не нормально.

    И неужели то, что DNS.exe висит на четырнадцати тысячах с лишним портах, это тоже нормальная ситуация?

    P.S. Сори, что в предыдущем логи запостил а не приложил.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните еще действия отсюда: http://virusinfo.info/showthread.php?t=37840

  13. #12
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    Выполнил.
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    Есть какие-нибудь коментарии, ребята? Очень жду!

  15. #14
    Junior Member Репутация
    Регистрация
    31.08.2009
    Сообщений
    10
    Вес репутации
    54
    Неужели никто не в курсе? Почему молчите?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Fleksik Посмотреть сообщение
    неужели то, что DNS.exe висит на четырнадцати тысячах с лишним портах, это тоже нормальная ситуация?
    На 14 тыс. это не нормально. А то, что в приложнных логах это совершенно нормально.
    По умолчанию пул сокетов сервера под управлением ОС Windows — 2 500 сокетов.
    http://support.microsoft.com/kb/953230/ru

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 89
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Fleksik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. никак не избавиться от вируса.
      От nazgul в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.04.2009, 03:25
    2. Никак не избавиться от вирусов
      От Alfiya в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 22.02.2009, 01:54
    3. Rootkit не удаляется никак
      От Mistakila в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.03.2008, 19:14
    4. Никак не могу избавиться от rootkit'а
      От vitulnik в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 06.06.2007, 17:50
    5. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01001 seconds with 20 queries