Показано с 1 по 7 из 7.

win32.Confi (заявка № 90535)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    4
    Вес репутации
    23

    win32.Confi

    Добрый день. Ситуация:

    AntiVir = Avast Home.
    OS - XP SP3
    Инет - АДСЛ, модем Д-линк 2500U (первая, не BRU, серия) перешитый на посл. обновление, пробовал менять на 2500U BRU/D, 2640U BRU/c - ситуация не меняется.

    На компе был обнаружен HiJack с помощью MalWareBytes в записи реестра..../run/shell
    Она же была удалена. После чего была руками выполнена очистка временных каталогов, каталога System Volume Information, также подключал CCleaner для до-очистки, если чего не заметил. Не CureIT, не AVZ, не KidoKill, ни одна из других утилит не находит ничего на всем жестком, однако

    Теперь:
    На компе постоянно создаются файлы во временном каталоге браузера интернета *.jpeg, png, bmp, определяемые как win32.Malware-Gen (Trojan) и %sysdir%\system32\x - win32.Confi (rtk). Определяются практически любым антивиром, удаляются, создаются опять и так в цикле с интервалом примерно 10-15 минут.
    Подозрение - процесс svchost с PID 1572, 1574, 1576, 1580, 1582. ПИД всегда один из этих и всегда один. Кушает памяти 18-32МБ, чаще всего 20-22МБ. Просмотр действий через Process Monitor не дал ничего. Все стандартные запросы Винды. Просмотр сетевых обращений также ничего не дал, хотя до чистки Volume Information переодически Аваст ловил активность на рандмный адрес/<буква>.exe, обращение было инициировано процессом, описанным выше.

    Процесс можно снять руками сразу после загрузки, вирусы перестают пересоздаваться, однако некоторые программы перестают запускаться, некоторые не видят звуковую, отключается DHCP, получение DNS от модема (если пробить ДНС руками, например 195.58.224.34 (Дорис) - будет работать). Если не обращать внимания, процесс завершается с ошибкой через 5-25 минут, после чего блокируются любые файловые менеджеры (FAR запускается, но виснет сразу же на смерть), блокируется диспетчер задач. Однако не всегда. Примерно 1 раз из 5ти процесс просто закрывается без последствий (ну потеря ДХЦП это не проблема, у меня все забито статикой).

    Почему считаю, что враг внутри - по сетевому мосту подключен ноутбук, с авастом и ХРю 3СП - там ничего подобного не наблюдается.

    Сломал моск - не знаю, где уже искать. Пробовал искать руками, по стандартным Confi подобным заражениям - ни одной даже близко подобной записи в реестре, также нет подозрительных файлов в системе

    Что прикреплять не знаю. AVZ - "Список обнаруженных объектов пуст". Дословно. Т.е. лога просто нет

    Добавлено через 8 часов 2 минуты

    UPD.

    Разобрался, почему нет логов. По какой-то причине, AVZ сканирует систему, красным выделает только Перехватчики уровня ядра, но определяет их как безопасные (в основном это запущенный AVAST и 1 модификация кода - это заплатка StarForce), один файл вызывает подозрение - spysys.sys однако AVZ определяет его как безопасный. По окончании проверки АВЗ самопроизвольно закрывается - потому и не могу лог выцарапать. Можно ли как-то ему сказать, чтобы автоматом писал лог в файл?
    Последний раз редактировалось SadCat; 26.10.2010 в 09:42. Причина: Добавлено

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Надо проверяться так - http://support.kaspersky.ru/faq?qid=208636215

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    4
    Вес репутации
    23
    Цитата Сообщение от Olejah Посмотреть сообщение
    Надо проверяться так - http://support.kaspersky.ru/faq?qid=208636215
    • Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
    • В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
    • Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
    • Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
    • Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    хм, zorizr.dll по-пробую по-искать, RECYCLED чист полностью, руками все там убил из под Live CD, обновление MS08-067 установлено. Сервиса со случайным названием точно нет - проверял по списку Microsoft - все запущенные сервисы - родные виндовз. Причем с цифровой подписью виндовоза.
    Вирус появился ровно 2 недели назад у меня, мб какая-то новая версия

    Буду дома, попытаюсь отловить создаваемые файлы и файлы на которые подозрение есть и выложить их вам для проверки. Просто аваст их сразу удаляет, и выходит, что ХДД чист.
    По какой причине утилита AVZ может сама закрываться после завершения сканирования? Все-таки хочу выложить логи, думаю это вам больше поможет, но пока не могу понять, почему их нет.

  5. #4
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    4
    Вес репутации
    23
    К сожалению все закончилось печально для ОС. Вирус ее добил, ОС грузится, но сделать в ней ничего невозможно - при любом действии - "ошибка обращения к модулю памяти". Из под Лив ЦД пытался выцарапать подозрительные файлы, хотя бы spysys - просто не нашел, даже поиском по всему диску. ОС убита полностью и установлена с нуля, ибо работать надо...

    Единственное, что могу добавить, если кому поможет:
    Действует вирус не как ранняя версия кидо.
    1. Заплатка MS08-067 ничего не дает, хотя при установке обновления ругается и пробует удалить руткит.
    2. Вирус пытается создать файл "X" в %sysdir%\system32 и файл RANDOM_NAME.jpeg/png/bmp в Documents and settings\Local settings\Temporary Internet Files\<сгенерированный системой каталог>.
    3. Если процесс создания Х завершился успешно, вирус пытается стянуть и запустить из интернета 2 вирусных файла - msms.jpg и exe.exe. Адресса сайтов меняються, но названия файлов всегда одинаковые. Определяются как Backdoor Trojan
    4. Если exe.exe стянут и запущен успешно, идет попытка скачивания файлов <БУКВА>.exe из интернета. Определяются как Malware-Gen Trojan.
    5. файлы в RECYCLER или RECYCLED не создаются. Отдельная служба, вроде RANDOMNAME также не создается, а вирус каким-то образом цепляется к svchost процессу. RANDOMNAME.dll в ОС также найти не удалось (по крайней мере явно не видно ее, а если учесть, что у меня там несколько тысяч ДЛЛек, то ессно мог и не заметить ее. однако же ни каспер, ни веб своими утилями ничего не нашли на жестком)
    6. NetLimiter 2 Pro не реагирует на попытку обращения к сайтам с вирусами и не показывает активности. Т.е. вирус очень не слабо себя маскирует.

    ЗЫ. После переустановки системы и AVZ и HiJack нормально отработали и создали лог файлы. Похоже нормальной работе утилит на старой системе мешал вирус.
    ЗЫЫ. Ни заходов на подозрительные сайты, ни установок новых программ в последние 2 недели не было (а вирус появился на компе ровно 2 недели назад), из чего делаю вывод, что проник он через дырку в ОС с помощью сетевой атаки. AVAST переодически блокирует сетевые атаки вида DCOM-exploit, однако эту видимо не отловил
    Последний раз редактировалось SadCat; 27.10.2010 в 10:31. Причина: добавление

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    Цитата Сообщение от SadCat Посмотреть сообщение
    AVAST переодически блокирует сетевые атаки вида DCOM-exploit
    Так закрывайте эти порты, небось ещё и lssas-exploit ловит.

  7. #6
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    4
    Вес репутации
    23
    Цитата Сообщение от Olejah Посмотреть сообщение
    Так закрывайте эти порты, небось ещё и lssas-exploit ловит.
    нет, LSASS не ловит, только деком и блокирует их
    Кстати, какие порты используються для DCOM атак? Честно говоря никогда не интересовался
    Последний раз редактировалось SadCat; 27.10.2010 в 15:20. Причина: дополнение

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254
    135-ый, если не ошибаюсь.

  • Уважаемый(ая) SadCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Win32:Confi [Wrm]
      От katyuhinsky в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.05.2009, 15:24
    2. win32 confi wrm
      От AlexanderL в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.05.2009, 16:01
    3. Win32:Confi [Wrm]
      От SantiK в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.02.2009, 22:33
    4. Win32:Confi (Wrm)
      От Jina в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.02.2009, 13:26
    5. win32:Confi(wrm)
      От gameclub в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.02.2009, 12:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00952 seconds with 19 queries