Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 44.

protector.exe и невидимый спамер (заявка № 7200)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37

    Thumbs up protector.exe и невидимый спамер

    Господа, добрый день.
    Есть контроллер домена на котором стоит почтовый сервер. Есть линуксовый файервол с белым адресом который всем сеть раздаёт, в том числе и домену. Смотрю логи файервола - каждую минуту с домена идут пакеты по 25 порту на непонятно какие адреса. В журнале Агнитум Оутпост который на домене стоит ничего криминального нету. TCPView тоже ничего не показывает.
    Что у меня засёк Агнитум это только protector.exe который как бы находится в \system32, но там его нету. В любом случае он в сеть ни одного байта не передал.
    У меня был уже спамерский троян из-за которого я на 2 недели попал в чёрный список, но его было видно сразу - процесс с непонятным именем долбится по всем портам. Я его просто убил, а этот... Как ему удалось файервол обойти?....
    В общем буду благодарен любой помощи..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Geser
    Guest
    Хм, а что странного? Червяка одного АВЗ прибил. Еще 2 подозрительных файла найдено. С ними что?

    Пройтись по этому компу нормальным антивирусом не помешает.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    По меньшей мере наблюдается два зловреда-руткита + ряд подозрительных. Бортовому антитрояну Outpost такое не по зубам ...

    Выполните скрипт (Файл/Выполнить скрипт):
    Код:
    begin
     SearchRootkit(True, True); 
     SetAVZGuardStatus(True);
     QuarantineFile('c:\scripts\sms\up.cmd','');
     QuarantineFile('C:\WINDOWS\inet20125\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
     QuarantineFile('C:\WINDOWS\system32\se.exe.exe','');
     QuarantineFile('C:\WINDOWS\system32\ss.exe.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntio256.sys','');
     QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
     QuarantineFile('C:\WINDOWS\system32:lzx32.sys','');
     DeleteFile('C:\WINDOWS\system32\lzx32.sys');
     DeleteFile('C:\WINDOWS\system32:lzx32.sys');
     ExecuteSysClean;
     RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); 
     RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); 
     DeleteService('PE386', true);
     DeleteService('ntio256', true);
     RebootWindows(True);
    end.
    После выполнения скрипта компьютер автоматом уйдет на перезапуск, это нормально. После перезагрузки сделайте новые гоги и пришлите попавшие в карантин файлы.

  5. #4
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
    Из сети нодом32 проверял тоже самое.
    Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)


    А какие конкретно подозрительные файлы?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Пофиксить не помешает :
    Код:
    O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)  	   	
     
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O13 - DefaultPrefix: http://www.get-access.host.sk/hvplace/rel1.php?id=amb_DR7_
    O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
    O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)
    вот добавлю к списку Олега:

    C:\WINDOWS\system32\protector.exe
    C:\WINDOWS\TEMP\pdk-SYSTEM\04fd4c355ee4d6745039c0e26ee35bbd.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\142f1f73ea8a4ef5d97a09bc7fa12082.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\15bd0ce677d4e91f04fa9e9e0802f2c1.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\1890442fca8f85e8dd017e73c1d1412e.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\2702e0cfa88c857f61d1b1c62f021234.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\3d96fc474ad08dd2a977ee4ae0a5bb1a.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\43b965ce4d04b0666c0805ec8d8aa9d7.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\44a84ae0057c065b284e031c2913b8e0.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\5a343e63ab2cfc12cc9ff69357e4c0ba.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\7c907bb62acfd587b40f44491e31264a.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\9e54fd72ddb76db13cf1136140fc4678.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\b6543d2aee40262cf0606f443e84e226.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\e9131fd55372248df7d4bbb1833d68c8.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\f42c3d9928c2fbb4b98bbdef642fadd4.dll


    Вот это сами ставили ? Если нет , удалите .
    C:\1c-script\ftp-run.cmd
    C:\Program Files\cron\cron.exe
    Последний раз редактировалось drongo; 19.12.2006 в 14:35.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    protector.exe есть , просто так его не увидишь Нужно из АВЗ искать , перед этим поставить блокировку руткитов .

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от dumer Посмотреть сообщение
    Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
    Из сети нодом32 проверял тоже самое.
    Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)


    А какие конкретно подозрительные файлы?
    Собственно указанный скрипт AVZ их и поместит в карантин. Прчто те два руткита, которые видны в логе - они оди из самых лучших - поэтому они весьма успешно маскируются от антивирусов и поиска. В скрипте AVZ идут команды их неутрализации и блокировки.

  9. #8
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    Всё сделал. Протектор вроде исчез. Спамерские пакеты продолжают успешно уходить.
    Что делать?

    1С-скрипт - это скрипт, сам писал.
    cron - это шедулер продвинутый.
    Вот новые логи.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    В карантине упоминается о файлах se.exe.exe, ss.exe.exe, up.cmd
    Последний это мой скрипт. Первые два я ручками удалил, после перезагрузки не появились.

  11. #10
    Geser
    Guest
    Файлы из карантина отправлены?

  12. #11
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    Размер карантина 777 Кб в архиве 379. Большой для вложения.
    Или только .ini-шники прислать нужно?

  13. #12
    Geser
    Guest
    Правила читать нужно. Там всё написано

  14. #13
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    Здесь только два: ss.exe.exe и se.exe.exe.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Вам же написали - в правилах все написано!
    8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).

  16. #15
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    Фаил залил.
    Млин, только я поторопился и сжал ВинРаром а не АВЗ. Переделать?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Цитата Сообщение от dumer Посмотреть сообщение
    Фаил залил.
    Млин, только я поторопился и сжал ВинРаром а не АВЗ. Переделать?
    не надо.

  18. #17
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    C:\WINDOWS\TEMP\pdk-SYSTEM\04fd4c355ee4d6745039c0e26ee35bbd.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\142f1f73ea8a4ef5d97a09bc7fa12082.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\15bd0ce677d4e91f04fa9e9e0802f2c1.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\1890442fca8f85e8dd017e73c1d1412e.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\2702e0cfa88c857f61d1b1c62f021234.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\3d96fc474ad08dd2a977ee4ae0a5bb1a.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\43b965ce4d04b0666c0805ec8d8aa9d7.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\44a84ae0057c065b284e031c2913b8e0.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\5a343e63ab2cfc12cc9ff69357e4c0ba.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\7c907bb62acfd587b40f44491e31264a.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\9e54fd72ddb76db13cf1136140fc4678.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\b6543d2aee40262cf0606f443e84e226.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\e9131fd55372248df7d4bbb1833d68c8.dll
    C:\WINDOWS\TEMP\pdk-SYSTEM\f42c3d9928c2fbb4b98bbdef642fadd4.dll
    После перезагрузки эти файлы появильсь снова.

  19. #18
    Geser
    Guest
    Проблема в том, что один из руткитов выжил. Можно попробовать повторить этот кусок скрипта
    Код:
    begin
     SearchRootkit(True, True); 
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\lzx32.sys');
     DeleteFile('C:\WINDOWS\system32:lzx32.sys');
     ExecuteSysClean;
     RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); 
     RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); 
     DeleteService('PE386', true);
     RebootWindows(True);
    end.

  20. #19
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    Повторил. Ничего не изменилось.
    Кстати при загрузке винуза пишет, что какой-то из сервисов упал.
    И темпы эти теперь удалить не могу.

  21. #20
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    21
    Вес репутации
    37
    И нету никаких lzx32.sys
    и нету 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\PE386'
    Есть lz32.dll и lzexpand.dll. Удалить их?

  • Уважаемый(ая) dumer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. Невидимый Trojan Downloader
      От ionico в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.12.2010, 18:10
    2. Невидимый IPv6-трафик
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 3
      Последнее сообщение: 26.07.2009, 13:35
    3. Невидимый процес NFS
      От NoMen в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.05.2009, 22:25
    4. Невидимый вирус
      От vek в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.05.2009, 16:23
    5. невидимый вирус
      От qnick в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.02.2009, 13:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00235 seconds with 23 queries