Троянцы атакуют

Printable View

03.09.2007, 08:09
Natalie

Вложений: 3

Троянцы атакуют

Здравствуйте все!

Поймала на двух компьютерах (один из них - шлюз во внешний мир) троянцев. NOD'ом идентифицируются как
Agent.OH
TrojanDownloader.Small.EQN
Nuwar.Gen.
Похоже, что NOD находит только последствия - вредные процессы и файлы, но кто их порождает - выловить не могу. Делала все, что написано в указаниях по лечению этих троянцев, какие нашла в инете, но безуспешно. Помогите пожалуйста, люди добрые. Да, во время исполнения скрипта, формирующего virusinfo_syscure.zip, вспомнила, что не запустила браузер. Отключила исполнение скрипта, включила браузер, запустила скрипт на исполнение. В логе пропали строки об излечивании C:\Windows\system32\svchost.exe и о маскировке исполняемого файла им же. Не знаю, насколько эта информация полезна.

Наталия
03.09.2007, 08:41
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vedxga3me2.exe','');
QuarantineFile('C:\WINDOWS\system32\c++.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
BC_ImportQuarantineList;
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
03.09.2007, 09:45
Natalie

Доброе утро!

Высылаю содержимое карантина.

Наталия
03.09.2007, 10:45
Bratez

1. Карантин из темы уберите и отправьте через эту форму:
[url]http://virusinfo.info/upload_virus.php?tid=12129[/url]

2. Очистите корзину.

3. Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c++.exe,
[/code]
4. Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vedxga3me2.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
5. Сообщите, используете ли вы что-то из нижеуказанного:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 52 минуты[/I][/B][/color][/size]

Забыл добавить: два антивируса сразу использовать настоятельно не рекомендуется. Во избежание тормозов и глюков один из них надо убрать (Imho, Аваст - [I]самое слабое звено![/I](с) ;))
03.09.2007, 11:48
Natalie

[quote=Bratez;131311]
5. Сообщите, используете ли вы что-то из нижеуказанного:
[/quote]
[code]
>> Нет Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Нет Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Нет Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Нет Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Да Безопасность: разрешен автозапуск программ с CDROM
>> Нет Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Да Безопасность: к ПК разрешен доступ анонимного пользователя
>> Нет Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

[quote=Bratez;131311]
Забыл добавить: два антивируса сразу использовать настоятельно не рекомендуется. Во избежание тормозов и глюков один из них надо убрать (Imho, Аваст - [I]самое слабое звено![/I](с) ;))[/quote]

Да, я читала. Пора-таки вычистить Avast.
03.09.2007, 12:01
Bratez

Выполните такой скрипт в AVZ:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Сделайте для контроля новые логи, начиная с п.10 правил.
03.09.2007, 12:51
Natalie

Вложений: 2

Контрольный выстрел:
03.09.2007, 13:01
Muzzle

.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12129
[/url]
Повторите логи.
03.09.2007, 14:12
Natalie

Вложений: 2

Повторяю логи.
03.09.2007, 14:20
Bratez

Странно, что ваш НОД пропустил этого зверька. В начале ведь его не было! Базы НОДа не старые? Не забывайте обновлять!

Последние логи чистые.
03.09.2007, 15:00
Natalie

Ура! Спасибо большое! (Пляшет джигу)
NOD32 у меня почему-то вообще троянцев плохо видит. Базы в частности на этой машине обновляются каждый день через инет, на отлученных от инета - раз в неделю. Может, в компанию к NOD'у надо специализированную трояноловилку ставить, чтоб на взлете их пристреливал?
03.09.2007, 15:11
Muzzle

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Можете так же установить фаервол,подробнее о них можно узнать тут [url]http://virusinfo.info/forumdisplay.php?f=40[/url]

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 02:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\vedxga3me2.exe - [B]Trojan-Downloader.Win32.Agent.coq[/B] (DrWEB: Trojan.DownLoader.31981)[/LIST][/LIST]