Printable View
с машины идет непонятный исходящий траффик.
зафиксированны попытки сканирования локального сервера
попытки соединиться с 204.13.249.70 по различным портам
все запросы IE идут через 127.0.0.1:1266 , а на машине никаких прокси-иммитаторов нет и не было.
на машине оказался полностью отрублен Антивирус >:(
Проверка CureIt в сейф-моде произведена, найдено несколько троянов, но картина не изменилась
далее - выполнены процедуры согласно правил
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DLGPC.DLL','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\nltdi.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\ati2mtag.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\uze0nje1.sys','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\Ati2evxx.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Выполните скрипт и пришлите карантин
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Поищите через AVZ файл arm32.dll - если найдёте, то закарантиньте, и также прикрепите по приложению 3 Правил
Файл сохранён как071106_041607_virus_47303ee7bbca9.zip
Размер файла4059
MD50854c3c7c030f5366d90904d8089681e
arm32.dll - не берется: "ошибка чтения", "ошибка прямого чтения".
А где он лежал?
Ошибка карантина файла, попытка прямого чтения (arm32.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\arm32.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\arm32.dll)
Карантин с использованием прямого чтения - ошибка
Да нет там arm32.dll...
Выполните еще такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysdrv1.exe','');
QuarantineFile('C:\WINDOWS\3.exe','');
QuarantineFile('C:\temp\winAPI.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Минутку, извиняюсь! Первый карантин-то пуст!! Одни ини-файлы...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Выполните еще раз скрипт rubin'a, затем мой, при отключенном антивирусе, после этого пришлите весь карантин.
Файл сохранён как 071106_050513_virus_1_47304a6973923.zip
Размер файла 3132523
MD5 b4f2433d2aac2d02925354357df6dbd3
это по скрипту Рубин`а
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Файл сохранён как 071106_051352_virus_3_47304c7068db5.zip
Размер файла 2609
MD5 58c09012a3c0b1e6bf924929df659e9e
но во втором архиве опять получились одни ini :(
три раза пробую - тот же результат.
[b]Trojan.Win32.Patched.au[/b] - C:\WINDOWS\system32\ntkrnlpa.exe
[b]Trojan.Win32.Patched.au[/b] - C:\WINDOWS\system32\ntoskrnl.exe
Остальное сейчас на ВирусТотале погоняю...
ntkrnlpa.exe и ntoskrnl.exe - [b]Trojan.Win32.Patched.au[/b]
Их надо либо заменить чистыми из дистрибутива, либо вылечить - это умеют например KAV 7.0 и DrWeb 4.44.
попробую заменить чистыми, дистрибутив есть.
C:\WINDOWS\system32\DLGPC.DLL
C:\WINDOWS\system32\drivers\nltdi.sys
C:\WINDOWS\system32\Ati2evxx.dll
C:\WINDOWS\System32\DRIVERS\ati2mtag.sys
Все файлы чисты...
Пофиксьте в HiJackThis:
[code]
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\[/code]
После того, как замените файлы - повторите лог
файлы заменил...
теперь пишу с другого компа: пристарте выдает, что C:\WINDOWS\system32\ntoskrnl.exe поврежден или отсутсвует.
подключил хард на другую машину, как внешний USB, антивирь активен.
просмотр фалов в C:\WINDOWS\system32\
дал "интересные" результаты:
ntkrnlmp.exe - 0 байт
ntkrpamp.exe - 0 байт
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
заменил все 4ре
ntkrnlmp.exe
ntkrpamp.exe
ntkrnlpa.exe
ntoskrnl.exe
Вы заражённые файлы как с дистрибутива устанавливали?
...вылил из Sp2.cab требуемые файлы на флешку на чистой машине
отправил больную в ребут. стартовал с CD, залил файлы с флешки вместо имеющихся (т.е. получил запросы на Overwrite и подтвердил).
затем ребут - машина не стартует.
___________________________
после замены 4х файлов - машина нормально стартовала, сейчас идет сканирование.
при активировании фаервола видно, что эксплорер опять "ходит" через 127.0.0.1:1102 (1174)
кроме того - попытке перейти по ссылке, содержащейся в письме (ссылка чистая, на [url]www.adobe.com[/url]) - пишет, что "запрещено политикой"
Попробуйте вручную собрать файлы, упомянутые в скрипте из сообщения #6.
[code]
begin
ExecuteRepair(6);
ExecuteRepair(2);
end.
[/code]
Попробуйте это
скинул на флешку, стал запаковывать (на чистой машине), получил отлуп от NOD32:
F:\1111\WINAPI.EXE Win32/Haxdoor троян
F:\1111\3.EXE Win32/TrojanDropper.Agent.NCZ троян
F:\1111\SYSDRV1.EXE Win32/PSW.LdPinch.NEL троян
...похоже. я туплю...
надо было просто хард к себе вцепить и прогнать его сканером...
на всякий случай - высылаю.
Файл сохранён как 071106_064804_1111_47306284091c9.zip
Размер файла 94993
MD5 877f5f5fdfc4c636d4271c3dfebb143b
LdPinch - придется менять пароли
Все ясно. Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sysdrv1.exe');
DeleteFile('C:\WINDOWS\3.exe');
DeleteFile('C:\temp\winAPI.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и давайте новые логи.
Прошу прощения за заминку - с работы просто уже выгнали вчера...
вот логи после всех проведенных действий.
...в логах, насколько вижу, все чисто, но исходящий траффик - продолжает капать...
Експлорер держит коннект на 127.0.0.1 с различными нестандартными портами.
в C:\WINDOWS\system32 лежат 2 файла:
sysdrv2.exe - 8,5 кБ
sysdrv5.exe - 3,4 кБ
проверка ничего в них не обнаруживает, но они мне, простите, не нравятся.
При включении фаервола (NetLimiterPro) видно, что любой запрос IE происходит дважды: на требуемый IP, а затем - на 127.0.0.1 с портом, на котором "висит" IE
sysdrv2.exe
sysdrv5.exe - пришлите по правилам....
Файл сохранён как 071107_023227_system32_4731781bb1ebb.zip
Размер файла 10717
MD5 b7c10dda402c31302dbedca78309a87e
[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]
Да, чуть не забыл - все-таки arm32.dll был в системе.
его NOD32, оставленный на ночь, пристрелил...
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll - модифицированный Win32/TrojanProxy.Xorpix.BS троян
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\sysdrv2.exe');
DeleteFile('C:\WINDOWS\system32\sysdrv5.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
sysdrv2.exe - Trojan-Downloader.Win32.Small.emg (kaspersky)
ок, запускаю скрипт (хотя C:\Documents and Settings\All Users\Документы\Settings\arm32.dll уже удален NOD-ом.)
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
вроде бы все чисто, на всякий случай - далаю тотальный прогон CureIt!
...хм... запустил IE (сейчас пишу из Opera) - опять обращаемся на 127.0.0.1:1126 (протокол UDP)
если данный коннект заблокировать - то получаем:
"Internet Explorer не удается подключиться к запрошенной веб-странице. Возможно, страница временно недоступна"
...капает(очень мелкими порциями, но постоянно) исходящий траффик...
1.Пофиксите в HijackThis:
[CODE]
O4 - Startup: MSWin--586453890.exe
[/CODE]
пока идет проверка в safeMode под админом...
минут через 40 - диск С прикончит...
[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]
спасибо большое, вроде бы все нормализовалось...
на всякий случай буду "пасти" комп...
[URL="http://virusinfo.info/showthread.php?t=3519"]Вы оказать нам помощь в пополнение базы безопасных файлов[/URL].
Рекомендуется прочитать [URL="http://security-advisory.newmail.ru/EBook.htm"]это[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntkrnlpa.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2450)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2450)[*] \\sysdrv2.exe - [B]Trojan-Downloader.Win32.Small.emg[/B][*] \\winapi.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.363)[*] \\3.exe - [B]Trojan-Dropper.Win32.Agent.ata[/B] (DrWEB: Trojan.Inject.223)[/LIST][/LIST]