Заражен шлюз. Ошибки SideBySide в системном журнале.

День добрый.

1. По анализу всяких логов вырисовывается картина, что шлюзовый комп был взломан в ночь с 30 апреля на 1 мая. Каким образом - еще не ясно. Но суть не в этом, а в том, что что-то на него подсадили. Похоже, что какой-то даунлодер.

2. Данный факт прошел незамеченным, т.к. выходные, праздники и т.д. Зараженный шлюз работал пару дней нормально. Однако 2 мая после обновления винды я решил его перегрузить. Вот с этого момента и началось самое интересное.

3. При перезагрузке несанкционированно были скачаны из Инета и установлены дополнительные программы. В результате:

4. Система выдает предупреждение о сбое в службе или драйвере при перезагрузке.

5. В системном журнале полно сообщений вида:

Тип события: Ошибка
Источник события: SideBySide
Категория события: Отсутствует
Код события: 59
Дата: 04.05.2012
Время: 9:51:27
Пользователь: Н/Д
Компьютер: GATESERVER01
Описание: Generate Activation Context завершилась не удачно для C:\WINDOW5\system32\safesurf.exe. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
.

или

Описание: Resolve Partial Assembly завершилась не удачно для Microsoft.VC80.CRT.mui. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
.

или

Описание: Resolve Partial Assembly завершилась не удачно для Microsoft.Windows.Common-Controls. Соответствующее сообщение об ошибке: Системе не удается найти указанный путь.
.

6. На шлюзе установлен NOD32, однако войти в агент управления невозможно: окно пустое без органов управления. Через некоторое время выдает ошибку обмена с ядром ekrnl и значок из трея вообще исчезает.

7. Переустановить NOD32 невозможно, т.к. заблокированы некоторые ветви реестра, которые он пытается удалить при переустановке.

8. Так же на шлюзе установлен сервер обновления вирусных баз NOD32, даже, вроде, работает. Однако, клиенты не могут подключиться к нему. Подключение отсутствует.

9. KVRT обнаружил парочку adware, однако их удаление ситуацию не улучшило.

10. Анализ автозапуска в AVZ и исключение некоторых подозрительных программ не помогло.

11. Вручную удалил всякие странные процессы из системы (при этом они пытались самовосстанавливаться), переименовал их файлы и папки (искал по датам). Не помогло.

12. AVZ с включенным AVZPM показывает большое число маскируемых процессов без имени. Но не совсем понятно, не принадлежат ли они сбойному ядру NOD32.

13. AVZ ругается на заблокированные ключи "eamon", "eamonm", "ehdrv", "EhttpSrv", "ekrn" раздела HKLM\SYSTEM\CurrentControlSet\Services. Те же ключи заблокированы во всех копиях ControlSet. Эти ключи используются NOD32.

Уважаемый(ая) [B]Pochemuk[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Эта зараза за сутки восстановила практически все удаленные папки и файлы. Подозреваю, что если что и не восстановила, то это к ней отношения не имеет. Часть исполнимых файлов уже в числе запущенных процессов. Сапопроизвольно запускаются некоторые мультимедийные сервисы.

Среди восстановленных файлов такой вот текстовик:

=========================================
ENGLISH VERSION BELOW
Если вы обнаружили этот файл, на вашем копьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap
Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке [url]http://go.jetswap.com/abuse.php?user=smak15&authid=92830333&authkey=du76g4[/url]
Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.

If you found this file on your computer installed SafeSurf, designed for browsing by users of the system JetSwap
If you own a computer and the program was installed without your consent or knowledge, go to [url]http://go.jetswap.com/abuse.php?user=smak15&authid=92830333&authkey=du76g4[/url]
The user will be blocked and the program will be deleted from your computer. We apologize for the actions of one of our users who abuse the system.
==========================================

Вот теперь думаю:

1. Стоит ли переходить по ссылке?
2. Поможет ли это?
3. Каким образом он самовосстановился? Я же поменял все пароли, прикрыл все неиспользуемые порты.

Новые логи прилагаю.

Файл C:\WINDOWS\system32\secort.cpl запакуйте с паролем virus и загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.


- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Я написал еще один пост днем, но он почему-то встал на модерацию и до сих пор не появился.

Вкратце его содержание:

Меньше чем через сутки практически все удаленные и переименованные файлы и папки были восстановлены. Многие из восттановленных исполнимых файлов в списке запущенных процессов. Некоторые мультимедийные службы сами запускаются после остановки.

Среди восстановленных файлов есть такой текстовик:

===============
Если вы обнаружили этот файл, на вашем копьютере установлена программа SafeSurf, предназначенная для просмотра сайтов пользователями системы JetSwap
Если вы являетесь владельцем компьютера и программа была установлена без вашего согласия или ведома, перейдите по ссылке _h_t_t_p://******
Пользователь будет заблокирован, а программа удалена с компьютера. Приносим Вам свои извинения за действия одного из наших пользователей, нарушающего правила системы.
===============

Теперь не знаю, стоит ли переходить, как ее мне подсадили и как ее восстановили, если я закрыл все неиспользуемые порты и сменил все пароли?

Повторяю более свежие логи и привожу лог сканирования MBAM

В файле C:\WINDOWS\system32\secort.cpl нет ничего интересного. Текстовая строка:

"04.05.2012 ( 8:11:59)"

Это, похоже, время одной из перезагрузок шлюза. Первой после очень основательной чистки ... Кажется, во время неё был удален прежний файл.

Господа! Не хочу показаться занудой, но после праздников будет уже больше недели, как антивирус отказывается обновляться. А это чревато.

Все логи приложил. Буду рад любой рекомендации ...

- [URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM:[/URL]
[CODE]C:\WINDOWS\system32\gptsvc.exe (Trojan.Agent) -> 3628 -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\ASP.NET_Runtime_AJAX (Trojan.Onlinegames) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\ACP.starter (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.

C:\WINDOWS\system32\gptsvc.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\OXAR0PYV\gptsvc[1].exe (Trojan.Agent) -> Действие не было предпринято.

C:\WINDOWS\apsql.exe.old (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\Microsoft.NET.old\alg.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\WINDOWS\Microsoft.NET.old\wmosrvse.exe (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\srchasst\mui\debr.exe (Browswer.Hijacker) -> Действие не было предпринято.
C:\WINDOWS\system32\gptsvc.exe.old (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\gptsvcer.exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\gptsvcer.exe.old (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\wmosrvse.exe.old (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\system32\dhcp\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\ehome\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\ehome.old\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\java\trustlib\tpl\%drive_C%\WINDOW5\system32\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\WINDOWS\addins.old\debr.exe (Browswer.Hijacker) -> Действие не было предпринято.
C:\WINDOWS\system32\srvany.exe (Trojan.Onlinegames) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.[/CODE]

[quote="Pochemuk;887828"]Эта зараза за сутки восстановила практически все удаленные папки и файлы.[/quote]
Какие???

Повторите все логи.

[QUOTE=Techno;888489]Какие???[/QUOTE]

А вот практически все, которые я переименовал, дописав расширение .old:

C:\WINDOWS\system32\gptsvc.exe
C:\WINDOWS\system32\gptsvcer.exe
C:\WINDOWS\system32\qtu.exe
C:\WINDOWS\system32\upsvsmr.exe
C:\WINDOWS\system32\copet.cpl

Папку C:\WINDOWS\ehome

и т.д.

Из логов видно, что удаление MBAM для gptsvc.exe почему-то не сработало, либо файл был восстановлен после перезагрузки.

Ветви реестра по прежнему заблокированы, NOD32 не работают ни агент, ни сервер. Но ошибок SideBySide в логах стало заметно меньше.

После лечения вылезло какое-то сообщение о неустранимой ошибке при попытке запуска какой-то службы. В следующий раз подробно опишу.

[ATTACH]362615[/ATTACH]
[ATTACH]362614[/ATTACH]
[ATTACH]362613[/ATTACH]
[ATTACH]362612[/ATTACH]

Что только ни делал - толку чуть.

Обнаружил, что после смены паролей кто-то сильно ломился по RDP, подбирая пароль. Сменил на всякий случай еще и порт.

Ключи реестра разблокировать получилось. Просто не увидел, что в правах доступа кем-то были выставлены галки на запреты. Убрал галки, удалось переустановить NOD32 и даже обновление прошло. Но после перезагрузки опять клиенты отказываются подключаться к HTTP-серверу обновлений. Он просто не запускается!!!

Периодически (не в момент перезагрузки, а в произвольные моменты) что-то восстанавливает файлы

C:\WINDOWS\system32\gptsvc.exe
C:\WINDOWS\system32\qtu.exe
C:\WINDOWS\system32\upsvsmr.exe

папку C:\WINDOWS\PeerNet с троянским файлом wscnrfy.exe и др., пишет какие-то файлы и папки в C:\Windows\Microsoft.NET\

Кстати, в папке C:\WINDOWS\PeerNet находится подпапка temp\$drive_C%, которая, похоже является чем-то вроде виртуального диска для зловреда. Во всяком случае, это там он пытается находить какие-то программы, которые вызывают приведенные в первом посте ошибки журнала.

[size="1"][color="#666686"][B][I]Добавлено через 58 минут[/I][/B][/color][/size]

Путем танцевания с бубнами уговорил NOD32 обновляться.

Но вот что делать со странными самовосстанавливающимися папками и файлами, в которых антивири распознают троянов.

Эти файлы находятся, в основном, в C:\WINDOWS\System32\, некоторые в C:\WINDOWS\System32\drivers\ и C:\WINDOWS\System32\Com\, но так же создаются папки:

C:\WINDOWS\PeerNet\
C:\WINDOWS\ehome\ - несколько дней не восстанавливается, видимо я его "восстановителя" прибил :)
C:\WINDOWS\System32\dhcp\ - тоже не восстанавливается уже 2 часа, но это ни о чем не говорит.

В этих папках подпапки, похожие на виртуальные диски и папки, а так же исполнимые файлы:

В C:\WINDOWS\ehome\ и C:\WINDOWS\System32\dhcp\ программы сканирования находят трояны производства SafeSurf (см. выше), а в C:\WINDOWS\PeerNet\ не находят, но выглядит она очень похоже по структуре и подозрительно.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 23 минуты[/I][/B][/color][/size]

Господа!!!

Чувствую, придется систему переустанавливать.

Вычистил всё, что возможно (подозрительное). Сразу после перезагрузки куча маскируемых процессов. Через 20 минут их уже в 3 раза больше и файлы/папки стертые восстановились.

На маскировку в логах АВЗ не обращайте внимания, это нормально для Вашей системы.

MBAM что-нибудь находит?

MBAM находит только троян

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\0XYB4LMV\gptsvc[1].exe

Удаление ни к чему не приводит. После перезагрузки он восстанавливается. Кроме него так же в Инет-кэше видны файлы

qtu[1].exe
alt[1].bat
wscntfy[1].oem
upsvcmr[1].exe

Все эти файлы восстанавливаются в System32 и другие папки при удалении.

[quote="Pochemuk;889622"]Все эти файлы восстанавливаются в System32 и другие папки при удалении.[/quote]
Возможно, заражены другие компьютеры в сети...

[QUOTE=Techno;889763]Возможно, заражены другие компьютеры в сети...[/QUOTE]

Ну что ж ... После переустановки ОСи узнаем ...

Переустановлю - отпишусь.

Вчера переставили ОСь на шлюзе. Наблюдаем почти сутки. Ничего из указанных файлов и папок и восстановилось.

Так что, версия о сетевом черве вряд ли состоятельна. К сожалению, истину мы теперь уже не узнаем :D ...

Спасибо за помощь. Тема себя исчерпала.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]