Rootkit на DC.

Собственно сабж. В наследство достался DC на Win2k, стоял с необновленным Симантеком. DrWeb нашел троянца и RK. Что за RK был - не скажу, ибо был убит неглядя, что является моей ошибкой.

Далее начались глюки следующего рода: DC не стартовал вообще. Выход был найден копированием веток реестра WinSock и WinSock32 с аналогичного сервера, после чего он стартовал, но не выполняет автозапуск службы NetLogon, завершая ее из-за ошибки. То есть после нажатия ctrl+alt+del, ввода логина/пароля, загрузки рабочего стола - мне требуется вручную запустить службу "Сетевой вход в систему", после чего DC приступает к своим обязанностям.

Теперь сервер перегружается раз в сутки (если не трогать) или "при обращении к модулю c:\winnt\system32\lsass.exe с кодом состояния -1073741819

Я знаю, что проблема связана с тем, что Руткит изменил пути к системным файлам (smss.exe, в частности), но как побороть - не знаю.

Если использовали Cureit! для проверки, он должен был сохранить лог в %userprofile%\DoctorWeb\cureit.log - там должна быть информация о том, что лечилось/удалялось.
Логи выглядят чистыми. На всякий случай, посмотрите эту статью - [url]http://support.microsoft.com/kb/300038[/url] - может быть, ваш случай.
К сожалению, по логам с серверной ос гадать сложно. Совсем на всякий случай, опять же, если есть возможность, загрузите файлы smss.exe и lsass.exe с проблемной машины по ссылке [url]http://virusinfo.info/upload_virus.php?tid=20019[/url] в архиве с паролем virus. И еще, вы сделали что-то похожее руками, но тем не менее: в утилите netsh для Win2003 есть контекст winsock, в котором есть команда reset - сброс каталога winsock в исходное состояние. Если аналогичный контекст есть и в netsh для win2k - попробуйте выполнить.

Как я понимаю, лог Cureit! ограничен по умолчанию размером. К сожалению туда записи убийства RK не попали.

Статью читал. Репликация выставлена согласно статье. Так же пробовал накатить повторно SP4 для w2k. Эффекта не дало.

Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.

На данный момент вижу только одно решение: воспользоваться Easy Recovery PRO, восстановить RK и того троянца для более точного исследования.

К сожалению, netsh то есть, но функции управления сокетами появились только в Win2k3. Именно по-етому пришлось копировать обе ветки реестра.

Файлы сейчас вышлю (как найду, как поставить пароль на Zip - архив, к сожалению, WinRaR не умеет).

[QUOTE=Skye;203497]В наследство достался DC на Win2k[/QUOTE]DC- это Даймлер-Крайслер? ;)
[QUOTE]стоял с необновленным Симантеком. [/QUOTE]
Полученые от кого бы то ни было в наследство ПК подлежат переустановке системы с удалением [B]всех[/B] разделов диска. Лучше - еще до подключения к сети.

Файл закачен.

[quote=Skye;203640]Маленький комментарий к логу: если повнимательнее посмотреть лог Менеджера WinSock SPI, то можно увидеть массу записей о том, что пути к файлам rnr20.dll, winrnr.dll, т.д., идут на с:\Documents&Settings\Администратор\WINDOWS\System32\file_name.xxx , что не есть карашо, ибо такого пути нет. Он был, но был жестоко и неосмотрительно пристрелен мной.
[/quote] Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
Еще, как вариант: попробуйте [url=http://support.microsoft.com/kb/321708/]netdiag[/url] - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.

[quote=Rene-gad;203647]

Полученые от кого бы то ни было в наследство ПК подлежат переустановке системы с удалением [B]всех[/B] разделов диска. Лучше - еще до подключения к сети.[/quote]

К сожалению это рабочий Даймлер Крайслер (:P) в сети. Как то мне в голову не приходит ничего больше, нежели понизить роль сервера до рядового, перенести AD, отформатить и снова развернуть домен. Но это слишком большие временные затраты. По-этому, собственно, и обратился к Вам.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

[quote=Numb;203651]Это видно, но это, с большой долей вероятности, не проблема вашей ОС, а особенность формирования логов программами AVZ и HJT при работе с серверной ОС (там, если вы посмотрите, практически все системные службы по такому пути расположены). Что касается пути %userprofile%\windows\system32 - он может быть связан с доступом к серверу через терминальную сессию. Если я прав, то при повторном подключении через RDP под администратором, думаю, папки будут созданы снова.
Еще, как вариант: попробуйте [URL="http://support.microsoft.com/kb/321708/"]netdiag[/URL] - если он найдет проблемы, там есть ключ fix - возможно, с его помощью удасться восстановить работоспособность системы.[/quote]

Хм. Странно, но папки при повторном подключении по RDP не создаются. После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям [U]удалось[/U] подключаться к DC, началась раздача адресов.

Netdiag проблем не видит.

Может имеет смысл в ручную создать тот путь, который указан в АVZ и поместить туда эти файлы?..

[QUOTE=Skye;203653]Но это слишком большие временные затраты. [/QUOTE]По сравнению с затратами времени на попытки очистить ПК от мусора - это ништяк ;).

[quote=Rene-gad;203659]По сравнению с затратами времени на попытки очистить ПК от мусора - это ништяк ;).[/quote]

Уважаемый, я, конечно, понимаю, что "поставить все с чистого листа" есть True для любой системы, но поскольку этот компьютер является мало того, что сервером, так еще и контроллером домена на (120 рабочих мест), то этот вариант должен быть [B]самым[/B] последним.

P.S. Соответствуете своему нику данными советами? :D

Наврал :( Создается путь %userprofile%\windows\system . Но про логи, остаюсь при своем мнении - это, скорее всего, особенность работы AVZ

[quote=Numb;203665]Наврал :( Создается путь %userprofile%\windows\system . Но про логи, остаюсь при своем мнении - это, скорее всего, особенность работы AVZ[/quote]

Да, создается именно этот путь ;). Хм. Давайте выступлю в качесте "вега" тестера и просканирую соседний аналогичный сервер (ну кроме того, что он рядовой в моем лесу), на предмет вероятности некорректности логов.

Судя по логу, прав я. :091:

А эта вторая машина - тоже именно w2k сервер и тоже используется, как терминальный сервер?

Отредактировал:
Прошу прощения, да, это терминальный сервер так же. Под 1С. По правам - рядовой сервер. ОС - W2k SP4.

Можно проверить на всякий случай несколько файлов.
Выполните скрипт в AVZ:
[code]begin
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\netdtect.sys','');
QuarantineFile ('%WinDir%\system32\drivers\netdtect.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile ('%WinDir%\System32\Drivers\Beep.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин, как написано в правилах (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=20019[/url] ).
Вам знакомы эти программы:
D:\WorkTimer\PROMAG.exe
C:\Program Files\3Com\Network Director\bin\NM_Launcher.exe
Если незнакомы, то тоже пришлите.
И еще MSIE: Internet Explorer v5.00 SP4 пора обновить :)

[B]kps[/B], программы знакомы. Первая - считыватель карт "приход-уход" на работу, вторая - софтинка для управления сетью на базе управляемых свичей 3com, как видно. ;) Поскольку DC не имеет выхода в интернет - не вижу смысла обновлять IE. Лучше уж обновить весь сервер до 2к3 r2, и сделать его WSUS. :> По поводу скрипта: по пути

'C:\Documents and Settings\Администратор\WINDOWS\system32\drivers\netdtect.sys'

'C:\Documents and Settings\Администратор\WINDOWS\System32\Drivers\Beep.SYS'

Указанных файлов нет, они были убиты мной (как я говорил выше), а в рабочее время перегрузить DC не имею возможности. Можно просто залить архив фалов drivers\netdtect.sys и drivers\beep.sys?..

[QUOTE=Skye;203985]Можно просто залить архив фалов drivers\netdtect.sys и drivers\beep.sys?..[/QUOTE]

Заливайте оба файла с Вашего компьютера по указанной ссылке.

Закачены. Думаю, они не помогут, ибо при повторном накате SP4 были заменены на чистые.

Да, они чистые.

[quote=Skye;203653]После убийства вышеописанного RK исчезали папки netshare и sysvol. После копирования веток Winsock'a и создания данных папок пользователям удалось подключаться к DC, началась раздача адресов.[/quote]
На DC (но это W2k3) папки Sysvol и [B]NetLogon[/B] помечены комментарием "Общий сервер входа" и они действительно нужны для работы домена.

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]

Покажите пожалуйста, что есть в реестре в таких местах:
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries][/CODE]

[QUOTE]Покажите пожалуйста, что есть в реестре в таких местах:
[/QUOTE]

Тут содержится 2 каталога с таким содержимым:
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\[/CODE] и
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002\[/CODE]

Параметры для первого (параметр - значение):
[CODE]DisplayString - TCP/IP
Enabled - 1
LibraryPath - %SystemRoot%\system32\rnr20.dll
ProviderID - 40 9D 05 22 9e 7e cf 11 ae 5a 00 aa 00 a7 11 2b
StoresServiceClassInfo - (0)
SupportedNameSpace - 12
Version - 0
[/CODE]
Параметры для второго:
[CODE]DisplayString - NTDS
Enabled - 1
LibraryPath - %SystemRoot%\system32\winrnr.dll
ProviderID - ee 37 26 3b 80 e5 cf 11 a5 55 00 c0 4f d8 d4 ac
StoresServiceClassInfo - (0)
SupportedNameSpace - 32
Version - 0
[/CODE]

Да, прошу прощения, папка именно NetLogon была вновь создана вручную, я тут ошибся с именем. :)

Сейчас поискал эти папки, нашел sysvol (пошареный) по пути c:\winnt\sysvol\sysvol, вторую не нашел, но через сетевое окружение ее видно. Насколько я помню, они должны создаваться автоматически после перезагрузки контроллера домена, чего в моем случае не происходит.

P.s. Утром ребутнулся снова, 2 раза с интервалом в 5 минут. В журнале событий лишь сухая строка, что "Предыдущее завершение работы было неожиданным." И Ошибка "Служба "Сетевой вход в систему" завершена из-за внутренней ошибки 2114.". После ручного запуска службы снова заработал.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Может быть и не связано с етим, но DrWeb CureIt! снова обнаружил в пошареной папке на другом диске Win32.Sector.4. Лечит успешно. Правда, есть у меня подозрение, что эта зараза где-то сидит в сети.

[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]

К сожалению, Easy Recovery 6 PRO не умеет работать со СКАЗИ дисками, по-этому восстановить руткит на место пока не удалось... Если возможно, подскажите, как это можно исполнить.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 34 минуты[/I][/B][/color][/size]

Хм. А подскажите мне, какие параметры стоят на пути
[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator][/code]
на контроллере домена в w2k3 в пункте DependOnService?

LanmanWorkstation
LanmanServer

Это ответ на последний вопрос.
Над остальным "помедитирую" после установки тестового W2k-server+DC

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А по поводу "DrWeb CureIt! снова обнаружил в пошареной папке на другом диске Win32.Sector.4" - вполне может быть.

[b]Kuzz[/b]
Вцелом результат положительный. Изменение параметров [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon] на данные выше помогло. Стал грузиться нормально. Теперь осталось выяснить 2 вещи:
1. Что это был за Руткит.
2. Найти источник Win32.Sector.4.

Буду благодарен за полное описание виря, что бы хотя бы знать, где его отлавливать в приоритете (то есть тип, исполняемые файлы, что генерит, что поражает, что исправляет и где добавляет). Заранее спасибо.

По указаному имени вируса нашел пока только
[url]http://info.drweb.com/virus/?match=family&family=Win32.HLLP.Sector[/url]
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21030[/url]
А вот что это был за руткит можно было узнать из лога DrWeb-а..

Ну и на всякий случай - указаные выше места реестра в аттаче (взяты с Win2k).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]