Две недели борьбы - RootKit?

Printable View

01.10.2007, 16:35
Dr. Byaka

Две недели борьбы - RootKit?

Здравствуйте!
Уже 2 недели борюсь со всякой гадостью, которая после вроде как успешного лечения возникает вновь...
Не могли бы Вы проконсультировать - кто виноват и что делать? %)
01.10.2007, 16:46
Bratez

1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ldr34.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\Teyo55.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Qoxg59.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Okc30.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Mlx54.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Xbey38.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Xbey38.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ldr34.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\Teyo55.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Qoxg59.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Okc30.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Mlx54.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
3. После перезагрузки пришлите карантин согласно приложению 3 правил.
4. Очистите временные файлы IE.
5. Сделайте новые логи.
01.10.2007, 16:54
Dr. Byaka

По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?
01.10.2007, 17:00
PavelA

Почему логи сделаны в Safe Mode? В норм. не получилось?
01.10.2007, 17:02
Numb

Да. Только выполнять нужно, загрузившись в обычном режиме (не в Safe mode) и с правами локального администратора. Перед выполнением скрипта, предложенного [b]Bratez[/b], отключитесь от сети и отключите антивирусный монитор.
01.10.2007, 17:09
Dr. Byaka

1.По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?
2. Скрипт в AVZ выполнил в safemode с сетевыми дровами, т.к. в обычном режиме вылетает в синий экран во время выполнения скрипта.
3. После перезагрузки послал карантин согласно приложению 3 правил
Компьютер "живёт" в домене и авторизоваться при отключенной сети даст только в safemode
4. Очистил куки и временные файлы IE.
01.10.2007, 17:30
Dr. Byaka

Эти два лога? или syscure тоже надо сделать?
01.10.2007, 17:40
Bratez

Видно, что скрипт выполнен успешно, но все же сделайте syscure для полной уверенности. Как самочувствие больного?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote]>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)[/quote]
Диск F - это CD?
01.10.2007, 17:47
Dr. Byaka

нет, это флешка, отключить? или нехай с ней?
01.10.2007, 17:49
Bratez

Пришлите по правилам F:\autorun.inf
01.10.2007, 18:33
Dr. Byaka

авторан загружен
01.10.2007, 18:35
PavelA

Станд. "самоход" в autorun. Задача будет такая: чистить все съемные диски от autorun.inf
01.10.2007, 18:44
Dr. Byaka

1. На этот раз syscure прошёл в обычном режиме (не в сейфе)
2. Перегрузился и сделал syscheck
3. я правильно понял? autorun - инфицирован? можно просто их поубивать со всех дисков без помещения в корзину? или это будет неправильно?
01.10.2007, 18:55
Bratez

Запустите проводник, включите показ скрытых и системных файлов и на всех дисках ищите и удаляйте:
\autorun.inf
\Recycled\ctfmon.exe
выбирая диски строго по дереву в левой части окна.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\Uxq51.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[2].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

И вот напоследок:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
[/code]
Что из этого не нужно - надо отключить.
01.10.2007, 18:56
Dr. Byaka

на жёстких дисках вместо корзины была папка RECYCLER, в ней по 2 раза desktop.ini - убиты
на флешке корзина была - теже файлы, убиты
авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)
01.10.2007, 18:58
Bratez

[quote]авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)[/quote]
Значит опасности уже не было. Что ж, в нашем деле лучше перебдеть... ;)
01.10.2007, 19:11
Dr. Byaka

скрипт выполнил, пегрегрузился
отключил автозапуск сдром и удалённый реестр, остальное - ? что такое SSDP?
01.10.2007, 19:42
PavelA

[url]http://oszone.net/5681/Windows_Services[/url] - обо всех службах.
01.10.2007, 20:07
Dr. Byaka

спасибо за ссылку, лишнее поотключал, однако остался ряд неприятных моментов:
1. Отсутствует закладка с восстановлением системы
2. неудаётся включить брандмауер, сдаётся мне, что после лечения его антивирусами
это лечится? %)
01.10.2007, 20:23
V_Bond

[URL="http://support.microsoft.com/kb/841568/ru"]восстановление системы[/URL]
[URL="http://support.microsoft.com/kb/920074/ru"]брандмауэр[/URL]
02.10.2007, 10:36
Dr. Byaka

Вирус наносит ответный удар

1. Служба "Восстановление системы" и останавливается и запускается вручную, но при этом ярлыка не появляется
2. инструкции по брандмауеру выполняю, но службы такой не появляется...
3. Рецидивировался вирус, логи прилагаю
4, Источник заразы обнаружен, при открытии форума на php у хостера (Агава) происходит заражение
03.10.2007, 14:40
Dr. Byaka

up
03.10.2007, 14:47
Bratez

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
QuarantineFile('C:\DOCUME~1\kratenko\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\kratenko\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_ImportDeletedList;
BC_DeleteSvc('ati2psag');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки карантин по правилам + новые логи.
Антивирус, надеюсь, обновляете? Зараза-то вроде известная уже...
03.10.2007, 16:21
Dr. Byaka

1. скрипт выполнил
2. карантин залил, логи прилагаю
3. антивирус с дефинишнс на 27.09.2007, надо наверное ITшников попинать на тему более частого обновления
03.10.2007, 16:29
Bratez

winlogon.exe - [b]Trojan-Dropper.Win32.Mudrop.eu[/b]
ati2psag.sys - [b]Trojan-Spy.Win32.Banker.ekk[/b]
svchost.exe:exe.exe:$DATA - [b]Trojan.Win32.Inject.ga[/b]
Судя по логам, все успешно удалены.
Антивирус конечно обновлять надо чаще, а то не будем успевать ваши логи просматривать ;)
03.10.2007, 17:14
Dr. Byaka

ok, спасибо большое,
осталось решить, что теперь с сайтом делать?
попробую попросить хостера проверить...

кроме ярлыка восстановления системы и брандмауера оказывается не работает ещё и диспетчер устройств - открывается пустое окно без устройств
22.02.2009, 02:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\kratenko\\local settings\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Mudrop.eu[/B] (DrWEB: Trojan.Spambot.2384)[*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\evy7c1kz\\n2_18_09_07_0[1].exe - [B]Trojan.Win32.Obfuscated.ij[/B] (DrWEB: Trojan.Swizzor)[*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\evy7c1kz\\n2_18_09_07_0[2].exe - [B]Trojan.Win32.Obfuscated.ij[/B] (DrWEB: Trojan.Swizzor)[*] c:\\docume~1\\kratenko\\locals~1\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Mudrop.eu[/B] (DrWEB: Trojan.Spambot.2384)[*] c:\\windows\\system32\\ati2psag.sys - [B]Trojan-Banker.Win32.Banker.ekk[/B] (DrWEB: BackDoor.Haxdoor.470)[*] c:\\windows\\system32\\drivers\\mlx54.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\drivers\\okc30.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\drivers\\qoxg59.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\drivers\\teyo55.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\drivers\\xbey38.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\ldr34.tmp - [B]Trojan-Downloader.Win32.Agent.djt[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Inject.ga[/B] (DrWEB: Trojan.DownLoader.34860)[*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Agent.djt[/B] (DrWEB: Trojan.MulDrop.8738)[*] f:\\autorun.inf - [B]Trojan.Win32.VB.aqt[/B] (DrWEB: Win32.HLLW.Autoruner.274)[/LIST][/LIST]