Показано с 1 по 15 из 15.

Сетевые атаки, внутренний вирус (заявка № 92505)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    7
    Вес репутации
    49

    Сетевые атаки, внутренний вирус

    Антивирус avast!, система WinXP 32 bit.
    4 дня назад по вечерам стали часто появляться всплывающие сообщения аваста об атаке с внешнего айпи на svchost.exe, или о том, что обнаружен Conficker Worm с путем файла C://WINDOWS/system32/x

    Атаки идут с адреса "208.53.183.158/***.exe" (заражение URL:Mal), где *** - рандомное имя, например m0bis или bdnu (меняется примерно два раза в день). Некоторые экзешники аваст, видимо, пропускает, так как вчера я поставил outpost firewall trial version, и сегодня он мне выдает сообщение о задержании еще одного экзешника, прошедшего защиту аваста, который сетевые атаки встречает первым. Атаки повторяются примерно через пятнадцать минут.

    regedit видит в SYSTEM-ControlSet00(1,2,3)-Services некое подозрительное gpgrtbax (которое втихаря прячется под
    "C://WINDOWS/system32/svchost.exe"), и которое невозможно удалить. Также до этого была библиотека с примерным названием "esbdkgva.dll", которую смог удалить (вроде бы окончательно) только AVZ скриптом №3.

    Аваст и аутпост ничего не видят, CureIT "типа удалила" esbdkgva.dll и нашла какой-то левый троян, который был перемещен в неизвестную папку (название и карантинную папку рассмотреть не удалось, т.к. началась перезагрузка средствами cureit).

    Помимо этого, со вчерашнего дня после отражения нескольких атак процесс svchost.exe вырубается "память не может быть read" или что-то в этом роде.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Сначало надо лечиться так - http://support.kaspersky.ru/faq?qid=208636215

    После этого подготовьте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    7
    Вес репутации
    49
    Вот. Kk ничего не нашел, но AVZ снова нашла esdbkgva.dll - именно тот тип вируса. Подозреваю, что он заново создается при подключении к сети.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Самое главное - поставить все заплатки, которые указаны по ссылке выше + установить надёжные пароли на все учётные записи.

    - Сделайте лог Гмер

  6. #5
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    7
    Вес репутации
    49
    Поставил все три заплатки. GMer произвел сканирование. После установки патчей атак на компьютер не было, хотя червь все еще жив. (?)
    Лог прилагается.

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    - Сохраните текст ниже как 1.bat в ту же папку, где находится lnzdvhtw.exe(GMER) и запустите этот батник(1.bat):

    Код:
    lnzdvhtw.exe -del service czocj
    lnzdvhtw.exe -del service ewgbckbpf
    lnzdvhtw.exe -del file "C:\WINDOWS\system32\esdbgkva.dll"
    lnzdvhtw.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gpgrtbax"
    lnzdvhtw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\czocj"
    lnzdvhtw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ewgbckbpf"
    lnzdvhtw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\czocj"
    lnzdvhtw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ewgbckbpf"
    lnzdvhtw.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  8. #7
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    7
    Вес репутации
    49
    Атак больше не производится, аваст молчит, вредоносных файлов не обнаружено. Проблема, скорее всего, решена. Спасибо огромное.
    --
    Нужно ли производить еще какие-нибудь действия, и что делать с карантинами AVZ и CureIt?

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
     DeleteService('qftsm');
     QuarantineFile('C:\WINDOWS\system32\01.tmp','');
     DeleteFile('C:\WINDOWS\system32\01.tmp');
     BC_DeleteSvc('qftsm');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Проверьтесь ещё так - http://support.kaspersky.ru/faq/?qid=208636926

    - Лог работы утилиты приложите к следующему сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    7
    Вес репутации
    49
    Сделано. TDSSKiller найден подозрительный файл sptd.sys. Когда попробовал включить экраны аваста после сканирования - синий экран, после ребута нормально.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Что с проблемой?

    Добавлено через 1 минуту

    - Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите все важные обновления.
    - Установите IE 8 - даже если Вы им не пользуетесь.
    Последний раз редактировалось olejah; 27.11.2010 в 17:16. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    7
    Вес репутации
    49
    Основная проблема решена, вот только SP3 я скачал. Он установил мне Outlook Express и прочих "очень нужных" вещей на 500 мегабайт + неудобный интерфейс бонусом. После немедленного удаления сервиспака все "очень нужные" вещи остались, но хоть прежний интерфейс вернулся. Откатить систему на время "до установки sp3" я не могу по понятным причинам (все точки восстановления были удалены, восстановление отключено). Радости полные штаны. К тому же, sptd.sys все еще подозрительно выглядит.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    У Вас "радости" будет ещё больше, если оставите второй сервис пак. Это огромная дыра в безопасности. Вирусы будут пролазить, как к себе домой. Ваш компьютер гарантировано незащищён. А теперь можно дальше думать об интерфейсе.

  14. #13
    Junior Member Репутация
    Регистрация
    26.11.2010
    Сообщений
    7
    Вес репутации
    49
    Если бы меня привлекала безопасность, я бы поставил Линукс. Наличие вирусов на этом компьютере для меня второстепенно, главное - чтобы они не отвлекали, не мешали и не загружали машину, которой жить осталось максимум три года. С SP3 она еще и медленнее работает (по крайней мере, панель управления).

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Уговаривать конечно никто не будет. Просто мы прежде всего беспокоимся о безопасности наших клиентов.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Levrex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. СЕТЕВЫЕ АТАКИ!!!
      От Alexx32 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.05.2010, 21:20
    2. Сетевые атаки
      От Martusso в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 10.04.2010, 07:08
    3. Сетевые атаки
      От Жетон в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.02.2010, 13:44
    4. Исходящие сетевые атаки
      От Arimeikuto в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.08.2009, 22:51
    5. Сетевые атаки
      От gromvita в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.02.2009, 17:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01106 seconds with 17 queries