подозрение на троян.
Printable View
подозрение на троян.
Уважаемый(ая) [B]dlelikov[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Логи сделаны в терминальной сесии, сделайте их из консоли.
ЛОГИ СДЕЛАНЫ ИЗ КОНСОЛИ
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
TerminateProcessByName('c:\windows\system32\microsoft\svchost.exe');
TerminateProcessByName('c:\windows\ehome\svchost.exe');
QuarantineFile('C:\WINDOW5\system32\safesurf.exe','');
QuarantineFile('c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\WINDOWS\system32\smss.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe','');
QuarantineFile('c:\windows\ehome\wmisrv.exe','');
QuarantineFile('c:\windows\system32\microsoft\svchost.exe','');
QuarantineFile('c:\windows\ehome\svchost.exe','');
DeleteFile('c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe', '32');
DeleteFile('C:\WINDOW5\system32\safesurf.exe');
DeleteFile('c:\windows\ehome\svchost.exe','32');
DeleteFile('c:\windows\system32\microsoft\svchost.exe','32');
DeleteFile('c:\windows\ehome\wmisrv.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Admin','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Desktop_Locker_456');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\user1','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SJ^','command');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/code]Перезагрузите сервер вручную.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Можно из терминального режима.
Образ автозапуска
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
; C:\DOCUMENTS AND SETTINGS\USER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 24 Trojan.Win32.Fsysna.aklw [Kaspersky]
; C:\DOCUMENTS AND SETTINGS\USER2\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\USER3\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\ADM\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\ADMO\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\USER6\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\ASP.NET\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\USER1.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\USER2.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\USER3.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\USER4.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\DOCUMENTS AND SETTINGS\ROXAN\APPLICATION DATA\MICROSOFT\SVCHOST.EXE
; C:\PROGRAM FILES\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SAFESURF.EXE
; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\CHECKERBLOCKMAIL.EXE
; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROGGRAMS\ALL-IN-ONE CHECKER.EXE
; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\ALL-IN-ONE CHECKER231\ALL-IN-ONE CHECKER231.EXE
; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\MAILRUCHCKR_3\MAILRUCHECKER_14.EXE
; C:\PROGRAM FILES\ACD SYSTEMS\PLUGINS\PLUGIN\COPY\WJDCHECKM.EXE
addsgn A7679B19919AF4F6BA98AE591468E1FA8426C9BB89711F90C5EB3F43F17A4401239CC3E53FBDF30CD17F2533735B49717D65847C18DA58110F8D5BA4CAD2143E 24 Win32/HackTool.BruteForce.IE [ESET-NOD3
; C:\WINDOWS\SYSTEM32\COPY\COPY\WJDCHECKM.EXE
; C:\WINDOWS\SYSTEM32\COPY\COPY2\WJDCHECKM.EXE
; C:\WINDOWS\SYSTEM32\COPY\COPY3\WJDCHECKM.EXE
; C:\WINDOWS\SYSTEM32\COPY\COPY4\WJDCHECKM.EXE
; C:\WINDOWS\SYSTEM32\COPY\COPY5\WJDCHECKM.EXE
; C:\WINDOWS\SYSTEM32\COPY\1\SHELLSCHECKER.EXE
hide %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLSAC.EXE
hide %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLWTSN.EXE
hide %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V4.0.30319\SMSVCHOST.EXE
hide %SystemRoot%\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.0\WPF\PRESENTATIONFONTCACHE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\215.123.20.155.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\215.123.20.155.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\КРЯК.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\КРЯК.EXE
zoo %Sys32%\SVCHОST.EXE
delall %Sys32%\SVCHОST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER3.SERVER1\LOCAL SETTINGS\TEMP\1\WIUPDAT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER3.SERVER1\LOCAL SETTINGS\TEMP\1\WIUPDAT.EXE
chklst
delvir
zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\AMSSCHED.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER6\DESKTOP\DUBRUTE_2.1 НА ДЕДАХ\DUBRUTE.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER6\DESKTOP\DUBRUTE_2.1 НА ДЕДАХ\DUBRUTE.EXE
zoo D:\FASTOPERATOR\USER1\FASTOPERATOR.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\INSTALL.CMD
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\INSTALL.CMD
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\MMCHECKER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROJECT1.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROJECT1.EXE
zoo %SystemRoot%\SYSTEM\SOUND.EXE
delall %SystemRoot%\SYSTEM\SOUND.EXE
zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\MAILPROCESSOR.EXE
zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\MASSSENDER.EXE
delref %SystemDrive%\RECYCLER\S-1-5-21-664997554-594091240-2026364968-1920\CSRSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\.EXE
delref E:\IZUVAS\IZCIPICA.EXE
delref G:\IZUVAS\IZCIPICA.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MAIL.RU\AGENT\MAGENT.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ADMIN.EXE
delref %SystemDrive%\DOCUME~1\ADM\LOCALS~1\TEMP\1\MSDCSC\MSDCSC.EXE
czoo[/code]Перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
Обратите внимание на файлы и ярлыки в профилях учётных записей ADM и ADMIN1, похоже, хакеры порезвились.
Замените пароли администраторов и учёток, имеющих удалённый доступ к серверу по RDP.
Удалите неизвестные и неиспользуемые учётные записи.
У кого права администратора были не по делу - понизить до обычного пользователя.
MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Установите все обновления безопасности на систему - начиная с SP2 и IE 8 (обязательно!) и все последующие хотя бы критические и важные обновления. Контролировать таким скриптом в AVZ (запускать при наличии доступа в интернет):
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\application data\microsoft\svchost.exe - [B]Trojan.Win32.Fsysna.aklw[/B] ( BitDefender: Backdoor.Generic.920753, AVAST4: Win32:Malware-gen )[*] c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe - [B]not-a-virus:RiskTool.Win32.AlwaysUp[/B][*] c:\windows\ehome\svchost.exe - [B]not-a-virus:RiskTool.Win32.AlwaysUp[/B][*] c:\windows\system32\microsoft\svchost.exe - [B]Trojan.Win32.Fsysna.aklw[/B] ( BitDefender: Backdoor.Generic.920753, AVAST4: Win32:Malware-gen )[/LIST][/LIST]