Руткит ушел, а след осатлся

Printable View

21.04.2009, 15:23
Grits

Вложений: 3

Руткит ушел, а след осатлся

[COLOR=black][FONT=Verdana]Добрый день![/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Боролся с [I]Hacktool.Rootkit+Trojan.Pandex+Downloader[/I](Symantec AV) благодаря инфе в темах форума[/FONT][/COLOR][COLOR=black][FONT=Verdana]. Кажется успешно. Нашел и[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]убил [/FONT][/COLOR][I][COLOR=black][FONT=Verdana]Trojan[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]-[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]Dropper[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana].[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]Win[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]32.[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]Agent[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana].[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]ampy[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]+[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]Trojan[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]-[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]Downloader[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana].[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]Win[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]32.[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]Agent[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana].[/FONT][/COLOR][/I][I][COLOR=black][FONT=Verdana]bhis[/FONT][/COLOR][/I][COLOR=black][FONT=Verdana] ([/FONT][/COLOR][COLOR=black][FONT=Verdana]AVPTool[/FONT][/COLOR][COLOR=black][FONT=Verdana]). [/FONT][/COLOR]
[B][COLOR=black][FONT=Verdana]Но[/FONT][/COLOR][/B][COLOR=black][FONT=Verdana] после этого д[/FONT][/COLOR][COLOR=black][FONT=Verdana]ля повторной проверки [/FONT][/COLOR][COLOR=black][FONT=Verdana]AVZ.[/FONT][/COLOR][COLOR=black][FONT=Verdana]ехе и[/FONT][/COLOR][COLOR=black][FONT=Verdana] HijackThis[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR][COLOR=black][FONT=Verdana]exe[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]пришлось переименовать в [/FONT][/COLOR][COLOR=black][FONT=Verdana]game[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR][COLOR=black][FONT=Verdana]exe[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]и [/FONT][/COLOR][COLOR=black][FONT=Verdana]game[/FONT][/COLOR][COLOR=black][FONT=Verdana]2.[/FONT][/COLOR][COLOR=black][FONT=Verdana]exe[/FONT][/COLOR][COLOR=black][FONT=Verdana] соотв (иначе не запускались). При сканировании в списке подозрительных остался [I]SYMEVENT.SYS[/I] (как перехватчик KernelMode), в протоколе работы АВЗ - перехват ряда функций неизв.програмой, бол[/FONT][/COLOR][COLOR=black][FONT=Verdana]и[/FONT][/COLOR][COLOR=black][FONT=Verdana]т в автозапуске [/FONT][/COLOR][COLOR=black][FONT=Verdana]и [/FONT][/COLOR][COLOR=black][FONT=Verdana]ряд процесов -C:\Documents and Settings\ССС\.exe; ...ССС\ССС.exe.[/FONT][/COLOR]

Прошу,

[B]помогите [/B]долечить машину, или я его:094:, или он мой ноут:furious3:.
[COLOR=black][FONT=Verdana][/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]
[/FONT][/COLOR]
21.04.2009, 16:17
PavelA

много убили, но и осталось достаточно.
профиксить:
[CODE]O20 - Winlogon Notify: crypt - crypts.dll (file missing)[/CODE]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
deleteservice('lanmanworkstationaspnet_state');
QuarantineFile('C:\WINDOWS\system32\appenda.exe','');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\Documents and Settings\ССС\.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('c:\documents and settings\ССС\ССС.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\Documents and Settings\ССС\.exe');
DeleteFile('crypts.dll');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
сделать новые логи.
Загрузить карантин через [url]http://virusinfo.info/upload_virus.php?tid=44265[/url]
21.04.2009, 18:10
Grits

Вложений: 3

Павел, большое спасибо за неотложку, уже стало легче дышать. Выполнил Ваши инструкции:rtfm:, в приложении даю новые логи. Посмотрите, по-возможности.

P.S. Не могу загружать логи и карантин прямо с сайта на моем ноуте, т.к. сбоит при загрузке, использую компьютер коллеги. Неужели трояны так поумнели?
21.04.2009, 18:56
PavelA

Если через флешку переносите, то все возможно.
А по сети может Кидо бегать.

Да, и еще: я бы файл hosts почистил. Из-за него может Инет тормозить.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Профиксить:
[CODE]O4 - HKCU\..\Run: [ССС] C:\Documents and Settings\ССС\ССС.exe /i[/CODE]
Вот это не убилось: 'C:\WINDOWS\system32\appenda.exe'. Подозреваю, что он основной зверь.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Для добивания:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
deleteservice('lanmanworkstationaspnet_state');
DeleteFile(' C:\WINDOWS\system32\appenda.exe');
DeleteFile('c:\documents and settings\ССС\ССС.exe');
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

end.[/CODE]
Повторить только логи.

[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]

Что было:
appenda.exe - Email-Worm.Win32.Joleee.nu
digiwet.dll - Trojan-Downloader.Win32.Injecter.crm
ССС.exe - Trojan.Win32.Agent2.ifp

по классификации ЛК
21.04.2009, 19:53
Grits

Вложений: 3

Заношу на сайт с другого компа через флешку, а в сети действительно Кидо - видел его в страстную пятницу у шефа на машине, когда на всякий случай решил прогнать ее через АВТ Касперского. Но он какой-то странный Кидо (в названии пойманого вируса есть ...win32.Kido.*-точно не помню, завтра посмотрю), - позволяет заходить на Symantek&Virusinfo, поэтому решил его не бояться:P. "Добрый" Кидо, наверное;)
Направляю ранее оговореные логи и низкий поклон за блестящее руководство борьбой со зверем. Можно узнать как его зовут?
21.04.2009, 20:04
PavelA

В логах чисто. Как зовутся зверьки написал выше.
22.04.2009, 10:09
Grits

Павел, огромное СПАСИБО за оказанную помощь, она была действительно скорой и компетентной. Во истину "респект и уважуха" таким профессионалам, как Вы.
23.04.2009, 10:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\ссс\ссс.exe - [B]Trojan.Win32.Agent2.ifp[/B] ( DrWEB: Trojan.DownLoad.33158 )[*] c:\windows\system32\appenda.exe - [B]Email-Worm.Win32.Joleee.nu[/B] ( DrWEB: BackDoor.IRC.Bot.114 )[*] c:\windows\system32\digiwet.dll - [B]Trojan-Downloader.Win32.Injecter.crm[/B] ( DrWEB: Trojan.Botnetlog.3 )[/LIST][/LIST]