Массовая рассылка писем ...

Printable View

18.04.2008, 16:43
alyen

Массовая рассылка писем ...

Обноружил что в сети с адресным пространством 192.168.0.1-192.168.0.254 появился непонятный IP - 10.106.102.78 который быстро и эмоционально создал несколько десятков подключений по 25 порту. При блокировке этого IP Фаерволом посылка пакетов на 25 порт прекратилась, зато пошли попытки достучаиться до DNS- а
лог:
[B]Wingate firewall hit report:[/B]
[B] Time: 19.04.2006 16:42:06
Reason: Blackholed
Source MAC address: 00-17-31-B8-58-5A
Destination MAC address: 00-07-E9-45-85-16
Source IP address: 10.106.102.78 : 48000
Destination IP address: 192.168.0.2 : 53
Protocol: UDP
Time-to-live: 128
DNS op: DNS Lookup for qpppuqqq.com.[/B]
Методом перебора, я нашел зараженный компьютер.

Попытка запуска ДР-Вебера - уход в глухую перезагрузку.
Запуск AVZ - скрипт сбора и лечения - перезагрузка.

Остальные логи прилагаю.
Буду очень благодарен за помошь и объяснения - что за зверь страшный это..
18.04.2008, 16:49
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Riub44', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Riub44.sys');
BC_DeleteSvc('Riub44');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Riub44.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=21726[/url]).
Сделайте новые логи, начиная с п.10 правил.
18.04.2008, 16:50
wise-wistful

И ещё пофиксите в HijackThis следующие строчки, если будут ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: atiddaxx - atiddaxx.dll (file missing) [/CODE]
18.04.2008, 16:51
Bratez

P.S. Если будет резкая перезагрузка без сообщения об успешном выполении скрипта, то уберите первую строчку после begin.
18.04.2008, 17:24
alyen

2Bratez
Первую строчку пришлось удалить - перезагружался.
Карантин закачал. Делаю логи

Результат загрузки
Файл сохранён как 080418_082245_virus_4808a0a5d0d4d.zip
Размер файла 313
MD5 a0d802e86a15813bb772dbdb091fee95

Файл закачан, спасибо!
18.04.2008, 17:27
Гриша

Карантин пустой
18.04.2008, 17:36
alyen

Логи сделал..

С помощью АВЗ почемуто не архивируется файл.
Сархивировал вручную, выслал. Прошу прощения за тупизну - где ставить пароль не нашел. :(

[LEFT][B][SIZE=2]Результат загрузки[/SIZE][/B]

Файл сохранён как080418_083548_virus_4808a3b4e97a2.zipРазмер файла116580MD5ef7832993c2265133cbaf3ac076f1bc0
[B][SIZE=2]Файл закачан, спасибо![/SIZE][/B]

[/LEFT]
18.04.2008, 17:47
Bratez

Не удалился.
[quote]Сархивировал вручную, выслал. [/quote]
А удалить вручную не получается?

Попробуем такой скрипт:
[code]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Riub44\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Riub44');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Riub44.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Если система вдруг не запустится после скрипта - выбирайте последнюю удачную конфигурацию.
18.04.2008, 18:04
alyen

Вручную не нашел я его..

Сейчас скрипт выполнил. Похоже получилось.
Логи прикрепляю..
Проверил Dr-Web-ером. Запустился, нашел мерзотных вредителей

[FONT=Arial CYR]svc32_0.exe[/FONT][FONT=Arial CYR]C:\DOCUME~1\akiselev\LOCALS~1\Temp[/FONT][FONT=Arial CYR]Trojan.Proxy.origin[/FONT]
[FONT=Arial CYR]svchost.exe[/FONT][FONT=Arial CYR]C:\DOCUME~1\akiselev\LOCALS~1\Temp\0[/FONT][FONT=Arial CYR]Trojan.PWS.LDPinch.3309[/FONT]
[FONT=Arial CYR]svchost.exe[/FONT][FONT=Arial CYR]C:\DOCUME~1\akiselev\LOCALS~1\Temp\1[/FONT][FONT=Arial CYR]Trojan.PWS.LDPinch.3309[/FONT]
[FONT=Arial CYR]svchost.exe[/FONT][FONT=Arial CYR]C:\DOCUME~1\akiselev\LOCALS~1\Temp\3[/FONT][FONT=Arial CYR]BackDoor.Bambalam[/FONT]

Их я удалил.. Осталось там еще что нибудь не подскажете ?
18.04.2008, 18:16
PavelA

Пинчи были!!! Придется менять все до исключения пароли.
И надо еще один лог сделать для порядка.
18.04.2008, 18:57
Гриша

Для справки:

Riub44.sys - [B]Rootkit.Win32.Agent.aic[/B]
21.04.2008, 15:13
alyen

[quote=PavelA;217406]Пинчи были!!! Придется менять все до исключения пароли.
И надо еще один лог сделать для порядка.[/quote]

Доброго дня.
Извиняюсь за задержку с ответом. Прикрепляю последние логи.

Есть еще вопрос
C:\Documents and Settings\akiselev\Local Settings\Temp\2 есть файл [B]svchost.exe[/B]

ни АВЗ ни Др-Веб его не определяют .. но расположение его очень подозрительное.. .

его высылаю карантином.
21.04.2008, 15:21
Bratez

Файл будет проверен в лаборатории.
Для профилактики очистите полностью папку
C:\Documents and Settings\akiselev\Local Settings\Temp
это в любом случае только на пользу.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

В логах чисто.
21.04.2008, 15:36
alyen

Хорошо..Почищу.
Огромное вам спасибо за помощь.