вирус спам-бот?

Printable View

06.06.2008, 19:51
Maximus_1982

вирус спам-бот?

1. отключился антивирус symantec
2. стали возникатть ошибки различных сервисов, со ссылками на на необнаруженный жесткий диск.
3. в диспетчере задач 2 файла начинающиеся на win****
4. блокируются сайты антивирусных компаний, блокируются AVZ (закрывается, при переименовании зараболтал), cureit (вылетает explorer, на win2003 вылетает в BSOD)
5. на чистом компьютере был проверен жесткий диск антивирусом касперского, найден neur.worm.generiс (файл winampUA в папке winamp)
6. при загрузке с live-cd и запуском через него cureit выдал эти 2 файла как trojan.proxy.3230)
лечение не прошло компьютер так же заражен..
06.06.2008, 20:06
Maximus_1982

логи
06.06.2008, 20:15
PavelA

Антивирус надо отключить.
Перечитать Правила. Вам необходимо отключить "Восст. системы"
Затем выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\R1vfEunv.exe','');
QuarantineFile('C:\WINDOWS\system32\fP8EX73e.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jqjngn.sys','');
TerminateProcessByName('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe');
QuarantineFile('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe','');
TerminateProcessByName('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe');
QuarantineFile('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe','');
DeleteFile('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe');
DeleteFile('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин прислать. Сделать новые логи.
07.06.2008, 08:01
Maximus_1982

сервер

логи сервера
07.06.2008, 08:13
Maximus_1982

карантин на компьютере пустой.. выслал карантин сервера.. вирус после скрипта на компьютере так же есть
07.06.2008, 09:01
Maximus_1982

логи компа.. и карантин
07.06.2008, 09:49
PavelA

Сделаем вот так:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jqjngn.sys','');
SetServiceStart('aic32p', 4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Непонятных процессов теперь не видно.
У Вас еще Бонжур был удален как-то неправильно, надо будет его дочистить.
07.06.2008, 10:15
Maximus_1982

выполнил.. без изменений практически..
в диспетчере процессов в AVZ виден wmiprvse.exe, однако теперь dll он не использует..

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe

HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
07.06.2008, 10:18
PavelA

Давай карантин после посл. скрипта. Файлики надо проверить.

Сам процесс твой вполне легитимный.
07.06.2008, 12:35
Maximus_1982

HKEY_CURRENT_USER\Software\имя914

в реестре такая вот запись и там многоооо чего.. похоже на win32.sality?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

прикрепить логи не дает - зависает, перезагружаюсь - детекируются те же файлы.. еще в безопаснике не грузится..
07.06.2008, 12:41
PavelA

Сделай полную проверку Куреитом, записав его на чистой машине на болванку.
Тогда подозрения насчет Салити м.б. отметуться.
07.06.2008, 17:59
Maximus_1982

согласно рекомендациям symantec по удалению w32.Sality.ae

вот такое вот есть..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
записи типа
C:\DOCUME~1\ЮЗЕР\LOCALS~1\Temp\winteow.exe:*:Enabled:ipsec
с прочие процессы винды

cureit нашел в памяти trojan.proxy.3230 и Возможно BACKDOOR.trojan (сначала в памяти, затем при сканировании дисков)

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

в папке temp файлы появляются только при работе в интернете.. без сети чисто.. но ошибки случайного процесса выдаются все равно ..

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 22 минуты[/I][/B][/color][/size]

вобщем похоже всему виной установленный на сервере sp2 и еще около 35-40 апдейтов.. после этого все и началось.. прогоняю куреит на серваке.. :( однако долго..
08.06.2008, 10:44
Maximus_1982

принес флешку с записанными на ней avz, cureit и hijackthis.. drweb выдал модификация win32.sector.5..
08.06.2008, 23:02
PavelA

Куда принес? На сервер или с сервера?
Лучше бы ты две темы завел на разные машины.
09.06.2008, 01:24
pig

[QUOTE=Maximus_1982;238045]drweb выдал модификация win32.sector.5..[/QUOTE]
Мда... Модификация - это плохо. Образцы:
1. пришлите по правилам
2. отправьте в вирлаб Доктора: [url]http://support.drweb.com/sendnew/[/url]
Обязательно укажите, что дикорастущие
09.06.2008, 08:13
Maximus_1982

принес с сервера домой.. вобщем дрвеб лечит.. теперь возникла проблема.. как восстановить записи реестра чтобы компьютер загрузить в безопасном режиме т сделать полную проверку..
09.06.2008, 08:18
Гриша

Вот так:)

[CODE]begin
ExecuteRepair(10 );
RebootWindows(true);
end.[/CODE]
09.06.2008, 16:18
Maximus_1982

восстановить вход в безопасник не удается.. в простом режиме вроде бы вылечил, перегрузился установил дрвеб.. перегрузился.. дрвеб стал кричать все время на вирус.. :( сеть в конторе встала.. выключил всех от сети чтобы не расползлось.. заражение порядка 60 машин процентов 50-70.. :(..

выход грузиться с лайв-сд и из под него чистить???
10.06.2008, 01:38
pig

Да, LiveCD - это лучше. По крайней мере, активный зверь в памяти отсутствует, поэтому не размножается.
16.06.2008, 07:49
Maximus_1982

загрузился с лайв_сд.. написано все вылечено.. поставил дрвеб без сети с диска.. опять заражение.. дрвеб теперь сам себя умудряется "вылечить".. все признаки заражения.. в ходе проверок компов найдуны bulknet и click.. как вирус проникает на компы??? может какой порт заблочить..