Просмотр полной версии : Backdoor.Win32.HacDef.b
Доброго времени суток.
На прокси-сервере win2k стоит кав4.0.5.13 (это не МОЙ выбор, он уже 2 года стоит) со свежими и расширенными базами. Как-то после проверки всплыл кусок Backdoor.Win32.HacDef.b (файл isplogger.sys). Как и ожидалось, файл спокойно удаляется и так же спокойно обнаруживается после перезагрузки. АВЗ обнаружил только скрытые процессы (isplog.exe, UpDate.exe, dmclih.exe). Если кто знает, как эту заразу вылечить - скинте рецептик. Если готового рецепта нет, то через пару дней скину логи. Через пару, т.к. перегружать сервак довольно сложно. И еще один пункт, не понял, как создать нормальный протокол, т.к. после во время проверки АВЗ счастливо закрывается (на пункте 3 при проверке папки WINNT, и похоже что аварийно). Базы, естественно, обновлял.
Не нужно перегружать. Сделай то что написано после "Если проблема не исчезла, то:" начиная с пункта 5
Не нужно перегружать. Сделай то что написано после "Если проблема не исчезла, то:" начиная с пункта 5
тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?
тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?
Те что в прилажениях
и еще момент - все делаю из под RAdmin2.2
Угу, короче так, на серваке похоже таки сидит руткит. Удалить его без перегрузки, насколько я понимаю, невозможно.
Нужно сделать следующее:
АВЗ->Параметры поиска->Поставить обе птички "Блокировать работу руткит" после этого вернуться в окно "Область поиска" и ничего не отмечая нажать "Пуск". По окончанию сканирования нужно не закрывая АВЗ
1. Еще раз сделать лог исследованя системы.
2. Пойти в Сервис->диспетчер процессов и прибить там процессы:
C:\WINNT\system32\UpDate.exe
C:\WINNT\system32\isplog.exe
C:\WINNT\system32\dmclih.exe
3. Эти файлы, обязательно при помощи АВЗ, найти и поместить в карантин, после чего выслать нам. Как искать файлы написано в правилах.
Правда, после всего нужно сделать перегрузку. Так что или перегрузка, или жизнь с руткитом.
в дополнение к перечисленным пришлите еще файл C:\WINNT\system32\isplogger.sys
АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]
после чего, что характерно, в процессах эти файлы не наблюдаются :(
что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные
полный аксес выолейшын ;-)))
Да давайте уже отключайте винт или грузитесь с компакта и грохайте файлы вручную. Система скомпрометирована. Чего ждем?
АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]
после чего, что характерно, в процессах эти файлы не наблюдаются :(
что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные
1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.
полный аксес выолейшын ;-)))
Да давайте уже отключайте винт или грузитесь с компакта и грохайте файлы вручную. Система скомпрометирована. Чего ждем?
это win2000serv
на нем
1 контроллер домена (второго нет)
2 прокси сервер
3 программный мост на 3 сетевухи
4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
5 все это стоит на зеркале.
6 образ системы есть но двухгодичной давности
7 я работаю тут только второй месяц, заражение произошло еще до меня
8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).
это win2000serv
на нем
1 контроллер домена (второго нет)
2 прокси сервер
3 программный мост на 3 сетевухи
4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
5 все это стоит на зеркале.
6 образ системы есть но двухгодичной давности
7 я работаю тут только второй месяц, заражение произошло еще до меня
8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).
Ну и? Ждешь пока хозяин руткита дистанционно сделает format c: ?:)
1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.
господа! простите ламера, но я никогда не работал с зеркалами.
скинте ссылочку - как это работает.
т.е. принцип действия я знаю и как поставить новое зеркало тож знаю (хоть и теоретически), но как на него накатить НОВУЮ систему (сверху, без форматирования) или образ системы, если массив еще и разделен на два логических диска.
и как файлы из зеркала добыть? какой загрузочный диск нужен? стандартной дискеты хватит?
лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
господа! простите ламера, но я никогда не работал с зеркалами.
дааа... лечить зеркала на другом компе - это кирдык
а компик что - никогда-никогда не перезагружается? у Вас контора круглосуточно работает?
лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
файл пока не пришел - надеюсь, отправляли с паролем?
p.s. а не связана ли возникающая ошибка с работой из-под радмина?
но как на него накатить НОВУЮ систему (сверху, без форматирования)Винда ставится как обычно. Можно поставить вторую на второй логический диск. Единственное что нужно - драйвер от DAID на дискетке который нужен будет в процессе инсталляции
это win2000serv
на нем ...
5 все это стоит на зеркале.
Это несколько неудобнее, винт посто так не вытащишь, придётся тащить из инета ERD или собирать LiveCD с BartPE (http://virusinfo.info/showpost.php?p=48970&postcount=3).
Если Raid конечно софтовый, а если железный ещё наверное пригодится дискета с его драйверами.
Ага, вот сам говоришь, что вся документация хранится на инфицированной системе. Еще доводы нужны?
Всю информацию срочно скинуть на резервные носители. Не дай бог, и в самом деле отформатируют.
Да не отформатируют. А будут и дальше оставаться в курсе всех дел в конторе... Просто так что ли руткит зафигачили.
лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
пришел. троян. убивайте его AVZ из списка драйверов, возможно после этого полегчает с убиением процессов экзешников
пришел. троян. убивайте его AVZ из списка драйверов, возможно после этого полегчает с убиением процессов экзешников
Вряд ли простое удаление поможет. А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.
А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.
сорри, а можно чуть поподробнее?
сорри, а можно чуть поподробнее?
АВЗ->Диспетчер драйверов и сервисов-> вкладка драйверов отметить дтайвер нажать кнопку "остановить". После чего проверить не стали ли видны остальные файлы. Но скорее всего не поможет
Но скорее всего не поможет
не помогло.
пошел йбаццца с сервером. фсе файлы вышлю, как только достану из сервака.
всем спасибо, всем пока.
Надо найти спрятанный сервис руткита.. и зделать ему стоп - HaxDef при остановке сервиса - сам снимит хуки и удалит сервис.... сервис предпологаю тоже как "isp????" будет называтся
Естесно все это надо делать при включенном противодействии руткитам!
а руткит похоже бывший админ оставил :type_2: чтобы контору не забывать
а руткит похоже бывший админ оставил :type_2: чтобы контору не забывать
неее. он для этого туповат был.
этот супермегакулхацкер, когда уходил, оставил юзергейту разрешение работать со своим (т.е. его домашним) IP. Т.е. не только не скрывал своих похождений через нашу проксю (даже логи юзергейта поленился затирать), но и домашний адрес оставил. а че, типа низзя чели? он же "хороший человек", сын соседа сына друга директора (это не шутка). его и простили не глядя. а щаз этот чувак в армию ушел.
я раньше думал, что такие идиоты только в анекдотах встречаются, но, видимо, ошибался.
такие дела...
И еще один момент. Раньше файл isplogger.sys вылазил ПОСЛЕ перезагрузки. Сегодня после проверки КАВ обнаружил еще один SYS (с другим названием) c этим же трояном. О чем это может говорить? И еще вопрос - если это прокси, то могут ли его заразит вирусы, которые качает клиент из инета со своей рабочей машины?
И еще один момент. Раньше файл isplogger.sys вылазил ПОСЛЕ перезагрузки. Сегодня после проверки КАВ обнаружил еще один SYS (с другим названием) c этим же трояном. О чем это может говорить?
что остался активный кусок трояна
И еще вопрос - если это прокси, то могут ли его заразит вирусы, которые качает клиент из инета со своей рабочей машины?
нет
Троян цел и невредим. Я за него еще и не брался. Только раньше КАВ видел этот троян в одном файле, который появлялся ПОСЛЕ ПЕРЕЗАГРУЗКИ, а теперь этот троян всплыл в файле, которого раньше КАВ не видел.
А не может этот троян сам себя по локальной сети распространять? Я кусок от трояна вам посылал, по нему нельзя определить?
Троян цел и невредим. Я за него еще и не брался. Только раньше КАВ видел этот троян в одном файле, который появлялся ПОСЛЕ ПЕРЕЗАГРУЗКИ, а теперь этот троян всплыл в файле, которого раньше КАВ не видел.
А не может этот троян сам себя по локальной сети распространять? Я кусок от трояна вам посылал, по нему нельзя определить?
в каких файлах всплыл?
hkrnlrdv.sys
hxdefdrv.sys
по локалке не распространяется
AndreyKa
13.03.2006, 16:25
Из присланных файлов:
dmclih.exe - инфицирован BackDoor.RemoteShell
isplogger.sys - инфицирован BackDoor.HackDef
isplog.exe - инфицирован BackDoor.HackDef.100
Их следует удалить, используя отложенное удаление AVZ. Перезагрузить компьютер и сделать новые логи начиная с 11 пункта правил.
PS Правила изменились. http://virusinfo.info/showthread.php?t=1235
Файлы отправлять через форму, ссылку на тему следует давать в таком виде:
http://virusinfo.info/showthread.php?t=4428
а что за файлики JAcheck.dll и JAstat.dll? если есть на диске - пришлите.
увы, нормальный лог от авз получить не удалось. после работы скрипта архива не остается. сохранил "в процессе".
пришли файлы JAcheck.dll, JAstat.dll - куски от FTP-сервера SERV-U.
поскольку в логах нигде SERV-U не фигурирует, сделан вывод что это куски трояна. в частности, известны случаи когда эти файла распространялись вместе с hxdef (он же HacDef).
поэтому ищите файлы:
servu*.*
search.bat
scan.bat
scan500.exe
pulist.exe
JAcheck.ini
hidden32.exe
csc.exe
ip.exe
sec.exe
pwdump32.exe
sc.exe
samdump.dll
uptime.exe
psinfo.exe
kill0103.exe
psloggedon.exe
fport.exe
hxdefdrv.sys
wzcdla.dll
wmguick.dll
updater.dll
msnet.dll
если что-то из этого найдется - присылайте.
да, и не плохо было бы получить новый лог исследования системы программой AVZ (новая версия - 4.15).
не остается логов после скрипта
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot