Невыводящиеся руткиты и проблема с DNS

Printable View

26.09.2008, 10:07
DuH.Khv

Вложений: 3

Невыводящиеся руткиты и проблема с DNS

Доброго времени суток.

Система OS WinXP SP3
АПО: Avira Premium Security Suite (Без фаервола)
Firewall: Outpost Firewall Pro 2009.

Выполнил все пункты по правилам - CureIt от 25.09.2008 ничего не нашел.

Проблемы:

1) Самопроизвольное проставление DNS адресов в сетевом подключении на ip :85.225.115.54 и 85.225.112.23. По результатам [URL]http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=85.225.115.54&submit.x=0&submit.y=0&submit=Search[/URL]
Ripe.net
address: Box 47645
address: 117 94 Stockholm
address: Sweden
Живу на Дальнем Востоке - с этих DNS серверов инфу получать не должен.
На эти сервера постоянно открыт 53 порт. Количество подключений варьируется от 1 до 30-40.

2) После [COLOR=Red]КАЖДОЙ[/COLOR] полной проверки AVZ восстанавливает функции 49 руткитов. После перезагрузки и повторного сканирования это происходит опять, а файлы прописанные как драйвера AVZ не удаляет.

Вот собственно и все. Жду и Надеюсь на вашу помощь.
26.09.2008, 11:16
PavelA

Делать со вставленной флешкой.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\kdihj.exe','');
QuarantineFile('C:\WINDOWS\system32\2A8.tmp','');
DeleteFile('C:\WINDOWS\system32\2A8.tmp');
DeleteFile('C:\WINDOWS\system32\kdihj.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('J:\autorun.inf');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин.

Сделать новые логи.

Большинство ваших руткитов легальные.
26.09.2008, 11:55
DuH.Khv

Вложений: 3

Невыводящиеся руткиты и проблема с DNS

Сделал.
Букв много для дисков - не флеш, а винчестеры.
После скана - 15 руткитов обнаружено.
Самостоятельно удалил Sandbox.sys до того, как Вы отписались.
Теперь Agnitum кричит при загрузке, что не может загрузить этот драйвер.
Спасибо за мобильность. Жду.
26.09.2008, 12:00
Гриша

Кто-то просил удалить его? это драйвер аутпост...

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - Startup: StartupFaster
O4 - Global Startup: StartupFaster
O17 - HKLM\System\CCS\Services\Tcpip\..\{91394B46-4FD9-4EE9-8213-83159601BA09}: NameServer = 85.255.115.54,85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5E0F156-AE85-46DC-8135-B1FE1A4E354D}: NameServer = 85.255.115.54,85.255.112.23[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('kdihj.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
26.09.2008, 12:37
DuH.Khv

Вложений: 3

Проблема с DNS адресами решилась уже после 1 фикса от [B][URL="http://virusinfo.info/member.php?u=1818"][B][COLOR=#ce7200]PavelA[/COLOR][/B][/URL].
За[/B] Sandbox.sys спасибо - верну.
Выполнил все фиксы от [B][URL="http://virusinfo.info/member.php?u=21818"][B][COLOR=brown]Гриша[/COLOR][/B][/URL].[/B]
После последнего сбора информации никаких функций восстановлено не было.

Логи Прикрепил, но я так понимаю, что это финиш. :> Жду ответа.

Большое Спасибо за быструю помощь.
26.09.2008, 13:13
Rene-gad

Ничего подозрительного.
22.02.2009, 08:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.nuu[/B] (DrWEB: Win32.HLLW.Autoruner.2805)[*] c:\\windows\\system32\\kdihj.exe - [B]Trojan.Win32.DNSChanger.jiv[/B] (DrWEB: Trojan.DnsChange.991)[*] h:\\autorun.inf - [B]Worm.Win32.AutoRun.spw[/B] (DrWEB: Win32.HLLW.Autoruner.2805)[*] i:\\autorun.inf - [B]Worm.Win32.AutoRun.rsg[/B] (DrWEB: Win32.HLLW.Autoruner.2805)[*] j:\\autorun.inf - [B]Worm.Win32.AutoRun.spw[/B] (DrWEB: Win32.HLLW.Autoruner.2805)[*] \\quarantine_1\\2008-09-26\\bcqr00009.dta - [B]Trojan.Win32.DNSChanger.jiv[/B] (DrWEB: Trojan.DnsChange.991)[*] \\quarantine_1\\2008-09-26\\bcqr00010.dta - [B]Trojan.Win32.DNSChanger.jiv[/B] (DrWEB: Trojan.DnsChange.991)[/LIST][/LIST]