protector.exe и невидимый спамер

[dumer]

Господа, добрый день.
Есть контроллер домена на котором стоит почтовый сервер. Есть линуксовый файервол с белым адресом который всем сеть раздаёт, в том числе и домену. Смотрю логи файервола - каждую минуту с домена идут пакеты по 25 порту на непонятно какие адреса. В журнале Агнитум Оутпост который на домене стоит ничего криминального нету. TCPView тоже ничего не показывает.
Что у меня засёк Агнитум это только protector.exe который как бы находится в \system32, но там его нету. В любом случае он в сеть ни одного байта не передал.
У меня был уже спамерский троян из-за которого я на 2 недели попал в чёрный список, но его было видно сразу - процесс с непонятным именем долбится по всем портам. Я его просто убил, а этот... Как ему удалось файервол обойти?....
В общем буду благодарен любой помощи..

[Geser]

Хм, а что странного? Червяка одного АВЗ прибил. Еще 2 подозрительных файла найдено. С ними что?

Пройтись по этому компу нормальным антивирусом не помешает.

[Зайцев Олег]

По меньшей мере наблюдается два зловреда-руткита + ряд подозрительных. Бортовому антитрояну Outpost такое не по зубам ...

Выполните скрипт (Файл/Выполнить скрипт):

Код:

begin
 SearchRootkit(True, True); 
 SetAVZGuardStatus(True);
 QuarantineFile('c:\scripts\sms\up.cmd','');
 QuarantineFile('C:\WINDOWS\inet20125\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
 QuarantineFile('C:\WINDOWS\system32\se.exe.exe','');
 QuarantineFile('C:\WINDOWS\system32\ss.exe.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntio256.sys','');
 QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
 QuarantineFile('C:\WINDOWS\system32:lzx32.sys','');
 DeleteFile('C:\WINDOWS\system32\lzx32.sys');
 DeleteFile('C:\WINDOWS\system32:lzx32.sys');
 ExecuteSysClean;
 RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); 
 RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); 
 DeleteService('PE386', true);
 DeleteService('ntio256', true);
 RebootWindows(True);
end.

После выполнения скрипта компьютер автоматом уйдет на перезапуск, это нормально. После перезагрузки сделайте новые гоги и пришлите попавшие в карантин файлы.

[dumer]

Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
Из сети нодом32 проверял тоже самое.
Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)


А какие конкретно подозрительные файлы?

[drongo]

Пофиксить не помешает :

Код:

O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)  	   	
 
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O13 - DefaultPrefix: http://www.get-access.host.sk/hvplace/rel1.php?id=amb_DR7_
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)

вот добавлю к списку Олега:

C:\WINDOWS\system32\protector.exe
C:\WINDOWS\TEMP\pdk-SYSTEM\04fd4c355ee4d6745039c0e26ee35bbd.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\142f1f73ea8a4ef5d97a09bc7fa12082.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\15bd0ce677d4e91f04fa9e9e0802f2c1.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\1890442fca8f85e8dd017e73c1d1412e.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\2702e0cfa88c857f61d1b1c62f021234.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\3d96fc474ad08dd2a977ee4ae0a5bb1a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\43b965ce4d04b0666c0805ec8d8aa9d7.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\44a84ae0057c065b284e031c2913b8e0.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\5a343e63ab2cfc12cc9ff69357e4c0ba.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\7c907bb62acfd587b40f44491e31264a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\9e54fd72ddb76db13cf1136140fc4678.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\b6543d2aee40262cf0606f443e84e226.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\e9131fd55372248df7d4bbb1833d68c8.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\f42c3d9928c2fbb4b98bbdef642fadd4.dll


Вот это сами ставили ? Если нет , удалите .
C:\1c-script\ftp-run.cmd
C:\Program Files\cron\cron.exe

[drongo]

protector.exe есть , просто так его не увидишь Нужно из АВЗ искать , перед этим поставить блокировку руткитов .

[Зайцев Олег]

Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
Из сети нодом32 проверял тоже самое.
Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)


А какие конкретно подозрительные файлы?

Собственно указанный скрипт AVZ их и поместит в карантин. Прчто те два руткита, которые видны в логе - они оди из самых лучших - поэтому они весьма успешно маскируются от антивирусов и поиска. В скрипте AVZ идут команды их неутрализации и блокировки.

[dumer]

Всё сделал. Протектор вроде исчез. Спамерские пакеты продолжают успешно уходить.
Что делать?

1С-скрипт - это скрипт, сам писал.
cron - это шедулер продвинутый.
Вот новые логи.

[dumer]

В карантине упоминается о файлах se.exe.exe, ss.exe.exe, up.cmd
Последний это мой скрипт. Первые два я ручками удалил, после перезагрузки не появились.

[Geser]

Файлы из карантина отправлены?

[dumer]

Размер карантина 777 Кб в архиве 379. Большой для вложения.
Или только .ini-шники прислать нужно?

[Geser]

Правила читать нужно. Там всё написано

[dumer]

Здесь только два: ss.exe.exe и se.exe.exe.

[anton_dr]

Вам же написали - в правилах все написано!

8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).

[dumer]

Фаил залил.
Млин, только я поторопился и сжал ВинРаром а не АВЗ. Переделать?

[Alex_Goodwin]

Фаил залил.
Млин, только я поторопился и сжал ВинРаром а не АВЗ. Переделать?

не надо.

[dumer]

C:\WINDOWS\TEMP\pdk-SYSTEM\04fd4c355ee4d6745039c0e26ee35bbd.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\142f1f73ea8a4ef5d97a09bc7fa12082.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\15bd0ce677d4e91f04fa9e9e0802f2c1.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\1890442fca8f85e8dd017e73c1d1412e.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\2702e0cfa88c857f61d1b1c62f021234.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\3d96fc474ad08dd2a977ee4ae0a5bb1a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\43b965ce4d04b0666c0805ec8d8aa9d7.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\44a84ae0057c065b284e031c2913b8e0.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\5a343e63ab2cfc12cc9ff69357e4c0ba.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\7c907bb62acfd587b40f44491e31264a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\9e54fd72ddb76db13cf1136140fc4678.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\b6543d2aee40262cf0606f443e84e226.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\e9131fd55372248df7d4bbb1833d68c8.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\f42c3d9928c2fbb4b98bbdef642fadd4.dll

После перезагрузки эти файлы появильсь снова.

[Geser]

Проблема в том, что один из руткитов выжил. Можно попробовать повторить этот кусок скрипта

Код:

begin
 SearchRootkit(True, True); 
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\lzx32.sys');
 DeleteFile('C:\WINDOWS\system32:lzx32.sys');
 ExecuteSysClean;
 RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); 
 RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); 
 DeleteService('PE386', true);
 RebootWindows(True);
end.

[dumer]

Повторил. Ничего не изменилось.
Кстати при загрузке винуза пишет, что какой-то из сервисов упал.
И темпы эти теперь удалить не могу.

[dumer]

И нету никаких lzx32.sys
и нету 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\PE386'
Есть lz32.dll и lzexpand.dll. Удалить их?