-
Junior Member
- Вес репутации
- 49
Сетевые атаки, внутренний вирус
Антивирус avast!, система WinXP 32 bit.
4 дня назад по вечерам стали часто появляться всплывающие сообщения аваста об атаке с внешнего айпи на svchost.exe, или о том, что обнаружен Conficker Worm с путем файла C://WINDOWS/system32/x
Атаки идут с адреса "208.53.183.158/***.exe" (заражение URL:Mal), где *** - рандомное имя, например m0bis или bdnu (меняется примерно два раза в день). Некоторые экзешники аваст, видимо, пропускает, так как вчера я поставил outpost firewall trial version, и сегодня он мне выдает сообщение о задержании еще одного экзешника, прошедшего защиту аваста, который сетевые атаки встречает первым. Атаки повторяются примерно через пятнадцать минут.
regedit видит в SYSTEM-ControlSet00(1,2,3)-Services некое подозрительное gpgrtbax (которое втихаря прячется под
"C://WINDOWS/system32/svchost.exe"), и которое невозможно удалить. Также до этого была библиотека с примерным названием "esbdkgva.dll", которую смог удалить (вроде бы окончательно) только AVZ скриптом №3.
Аваст и аутпост ничего не видят, CureIT "типа удалила" esbdkgva.dll и нашла какой-то левый троян, который был перемещен в неизвестную папку (название и карантинную папку рассмотреть не удалось, т.к. началась перезагрузка средствами cureit).
Помимо этого, со вчерашнего дня после отражения нескольких атак процесс svchost.exe вырубается "память не может быть read" или что-то в этом роде.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сначало надо лечиться так - http://support.kaspersky.ru/faq?qid=208636215
После этого подготовьте новые логи.
-
-
Junior Member
- Вес репутации
- 49
Вот. Kk ничего не нашел, но AVZ снова нашла esdbkgva.dll - именно тот тип вируса. Подозреваю, что он заново создается при подключении к сети.
-
Самое главное - поставить все заплатки, которые указаны по ссылке выше + установить надёжные пароли на все учётные записи.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 49
Поставил все три заплатки. GMer произвел сканирование. После установки патчей атак на компьютер не было, хотя червь все еще жив. (?)
Лог прилагается.
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится lnzdvhtw.exe(GMER) и запустите этот батник(1.bat):
Код:
lnzdvhtw.exe -del service czocj
lnzdvhtw.exe -del service ewgbckbpf
lnzdvhtw.exe -del file "C:\WINDOWS\system32\esdbgkva.dll"
lnzdvhtw.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gpgrtbax"
lnzdvhtw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\czocj"
lnzdvhtw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ewgbckbpf"
lnzdvhtw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\czocj"
lnzdvhtw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ewgbckbpf"
lnzdvhtw.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 49
Атак больше не производится, аваст молчит, вредоносных файлов не обнаружено. Проблема, скорее всего, решена. Спасибо огромное.
--
Нужно ли производить еще какие-нибудь действия, и что делать с карантинами AVZ и CureIt?
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
DeleteService('qftsm');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
BC_DeleteSvc('qftsm');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Проверьтесь ещё так - http://support.kaspersky.ru/faq/?qid=208636926
- Лог работы утилиты приложите к следующему сообщению.
-
-
Junior Member
- Вес репутации
- 49
Сделано. TDSSKiller найден подозрительный файл sptd.sys. Когда попробовал включить экраны аваста после сканирования - синий экран, после ребута нормально.
-
Что с проблемой?
Добавлено через 1 минуту
- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
Последний раз редактировалось olejah; 27.11.2010 в 17:16.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 49
Основная проблема решена, вот только SP3 я скачал. Он установил мне Outlook Express и прочих "очень нужных" вещей на 500 мегабайт + неудобный интерфейс бонусом. После немедленного удаления сервиспака все "очень нужные" вещи остались, но хоть прежний интерфейс вернулся. Откатить систему на время "до установки sp3" я не могу по понятным причинам (все точки восстановления были удалены, восстановление отключено). Радости полные штаны. К тому же, sptd.sys все еще подозрительно выглядит.
-
У Вас "радости" будет ещё больше, если оставите второй сервис пак. Это огромная дыра в безопасности. Вирусы будут пролазить, как к себе домой. Ваш компьютер гарантировано незащищён. А теперь можно дальше думать об интерфейсе.
-
-
Junior Member
- Вес репутации
- 49
Если бы меня привлекала безопасность, я бы поставил Линукс. Наличие вирусов на этом компьютере для меня второстепенно, главное - чтобы они не отвлекали, не мешали и не загружали машину, которой жить осталось максимум три года. С SP3 она еще и медленнее работает (по крайней мере, панель управления).
-
Уговаривать конечно никто не будет. Просто мы прежде всего беспокоимся о безопасности наших клиентов.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-