заражена локальная сеть

Printable View

29.01.2009, 00:47
sp5-8

Вложений: 3

заражена локальная сеть

Добрый день!

Помогите пожалуста разобратся.:unsure:
Заражены несколько компьютеров в локальной сети, отделенной от Инета.
Признаки начального заражения
1.Замедление работы XP при 0 нагрузке на процах.
2.Переодическе разрывы соединений citrix, удаленные раб. столы, oracle.

3.На winlogon (иногда и на лругих резидентах) открываются UDP порты портв `1025 -1041 закономерности и трафика не замеченно.

На серверах имеющих DNS сервер - от имени DNS открыто более 20 UDP портов

В сети стоит KAV 6 со свежими базами. Все пачи винды до середины декабря проставлены.
В соответстии с правилами раздела выкладываю лого на типовые машиы
1-ая XP pro (работает под администратором)
29.01.2009, 02:41
pig

Карантин уберите и прикрепите virusinfo_syscheck.zip
29.01.2009, 12:14
sp5-8

Вложений: 1

this
29.01.2009, 13:30
Bratez

[b]Отключите восстановление системы![/b]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\spapin\LOCALS~1\Temp\FHWXDCZ.exe','');
DeleteFile('C:\DOCUME~1\spapin\LOCALS~1\Temp\FHWXDCZ.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('TDIMSYS');
BC_DeleteSvc('FHWXDCZ');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=38466[/url]).

[B]Обновите базы AVZ![/B]
Сделайте новые логи.
29.01.2009, 16:18
sp5-8

Вложений: 2

Спасибо за скрипт, но после запуска изменний в сосьоянии машины нет.
29.01.2009, 16:38
Bratez

[QUOTE]Внимание !!! База поcледний раз обновлялась 09.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]

В логах ничего плохого не увидел. Однако для полной уверенности надо:
1. Обновить все-таки базы.
2. Установить AVZPM, перезагрузить компьютер.
3. Сделать логи еще раз.
29.01.2009, 16:48
sp5-8

О плохом
1. Winlogon слушает udp 1044
2. Остался перхватчик.
О базе
базу вылажил сегодняшнию в директорию BASE перед запуском скриптов.
29.01.2009, 18:46
sp5-8

Вложений: 3

Выполнил все инструкции.
1.В jpg информация о базе из AVZ
2.AVZPM был включен.
3.Логи прислал
Но все таки почему и после 2-х перезагрузок остались и разрывы конекций, и на winlogone UDP 1044?
31.01.2009, 14:37
sp5-8

подскажите методику

Люди подскажите методику поиска "черной кошки в темной комнате, где она очевидно есть". Я исчерпался в идеях. Система явно меняется (прослушивание udp процессами которые это делать не должны, странное поведение TCP конекция).
IDA это очень жорошо:rolleyes:, но я не понимаю чего и где искать. Смотреть ли в памяти или файл на диске, и вызов какой функции может быть интересен.
02.02.2009, 12:49
sp5-8

Госпада модераторы ау!

Может быть имеет смысл объединить 3 открытые мной темы в одну?:santa:
Машины были выбраны условно, проявления (открытые UDP порты) уже на десятке машин.
Обсуждения в каждой теме уже пересекаются с другой!
03.02.2009, 12:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]