подозрение на spyware

Printable View

07.02.2010, 00:50
Max_C

подозрение на spyware

Есть подозрение на промышленный шпионаж (часть моих файлов оказалась у конкурента). CounterSpy нашел несколько троянов, самые подозрительные (ну часть была в кейгенах на диске с дистрибутивами): C:\WINDOWS\system32\drivers\nnkey.sys, C:\WINDOWS\system32\dllcache\wmiadap.exe, C:\WINDOWS\system32\wbem\wmiadap.exe. Могли ли эти (или другие) программы выслать что-либо (файлы doc, tiff, xls) в инет?
07.02.2010, 03:09
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

[code]
O1 - Hosts: 195.234.108.253 cmeptb
O1 - Hosts: 216.55.133.9 handybackup.com www.handybackup.com www.softlogica.com softlogica.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

[/code]

В AVZ выполните скрипт:

[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\program files\eka2\eka.exe');
QuarantineFile('D:\capture_one.bat','');
QuarantineFile('C:\second_boot.cmd','');
QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
StopService('nnkey');
QuarantineFile('c:\program files\eka2\eka.exe','');
QuarantineFile('C:\WINDOWS\system32\ridocport.dll','');
QuarantineFile('C:\Program Files\EKA2\aragh.dll','');
QuarantineFile('C:\Downloads\Old\Programs\winamp182.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sbaphd.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\nnkey.sys','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\11100934000016507ul25uu10t\fssclient_x86.msi');
DeleteFile('C:\Program Files\Common Files\Windows Live\.cache\8b1d925c1c9a304\fssclient_x86.msi');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
AddToLog(inttostr(BC_ServiceKill('vtgmrkm')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите + в дополнение сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]
Файл hosts сами правили?
Следущие программы сами устанавливали?
C:\Program Files\Handy Backup\
C:\Program Files\Transmission Remote GUI\
проверьте их настройки.
07.02.2010, 22:46
Max_C

Я не совсем правильно понял, обновил логи в первом посте.. я так понимаю, нужно было в новом прикреплять...
C:\Program Files\Handy Backup\ устанавливал, но снесу т.к. не пользуюсь.
C:\Program Files\Transmission Remote GUI\ это оболочка линуксового торрент-клиента (на медиаплеере)
hosts правил сам
08.02.2010, 11:30
Max_C

посмотрите пожалуйста,
Функция NtCreateKey (29) перехвачена (806237B2->B9EA80E0), перехватчик spuz.sys
Функция NtEnumerateKey (47) перехвачена (80623FF2->B9EC6CA2), перехватчик spuz.sys
Функция NtEnumerateValueKey (49) перехвачена (8062425C->B9EC7030), перехватчик spuz.sys
Функция NtOpenKey (77) перехвачена (80624B84->B9EA80C0), перехватчик spuz.sys
Функция NtQueryKey (A0) перехвачена (80624EAA->B9EC7108), перехватчик spuz.sys
Функция NtQueryValueKey (B1) перехвачена (806219EA->B9EC6F88), перехватчик spuz.sys
Функция NtSetValueKey (F7) перехвачена (80621D38->B9EC719A), перехватчик spuz.sys
название файла перехватчика после каждой перезагрузки разное. spyw.sys, spyz.sys, spuz.sys... Поиском файл не находится
08.02.2010, 17:36
миднайт

Вложений: 1

Проверьтесь этим [url]http://support.kaspersky.ru/viruses/solutions?qid=208636926[/url]
О результатах сообщите.
Выполните скрипт в аттаче результат из корня диска С c:\avz_log.txt или из папки AVZ\Log прикрепите к сообщению.
[ATTACH]215354[/ATTACH]
==
[QUOTE]посмотрите пожалуйста,
Функция NtCreateKey (29) перехвачена (806237B2->B9EA80E0), перехватчик spuz.sys[/QUOTE]
это нормальные перехваты.
08.02.2010, 19:00
Max_C

TDSkiller ничего не нашел, avz_log во вложении..
Вопрос: возможно ли, что примененные утилиты не увидели вирус, мои конкуренты - серьезные ребята, могли нанять хороших специалистов..
09.02.2010, 16:46
Max_C

up
09.02.2010, 17:33
миднайт

[QUOTE='Max_C;582013']Вопрос: возможно ли, что примененные утилиты не увидели вирус[/QUOTE]
если подозреваете кражу информации, то скорее не вирус, а троян. Возможно, но маловероятно.
В логах ничего зловредного не нахожу. Adobe Flash Player обновите.
Подумайте что из этого вам не нужно:[QUOTE]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: разрешен автоматический вход в систему[/QUOTE]
Если у вас серьезная организация\бизнес о защите нужно побеспокоиться заранее, а теперь уж и подавно. И не забывайте про надежные пароли. Также проверьте возможность физического доступа к вашей машине.
Рекомендую почитать книгу Николая Головко «Безопасный Интернет. Универсальная защита для Windows ME - Vista» [url]http://www.security-advisory.ru/[/url]
10.02.2010, 17:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]