protector.exe и невидимый спамер

Господа, добрый день.
Есть контроллер домена на котором стоит почтовый сервер. Есть линуксовый файервол с белым адресом который всем сеть раздаёт, в том числе и домену. Смотрю логи файервола - каждую минуту с домена идут пакеты по 25 порту на непонятно какие адреса. В журнале Агнитум Оутпост который на домене стоит ничего криминального нету. TCPView тоже ничего не показывает.
Что у меня засёк Агнитум это только protector.exe который как бы находится в \system32, но там его нету. В любом случае он в сеть ни одного байта не передал.
У меня был уже спамерский троян из-за которого я на 2 недели попал в чёрный список, но его было видно сразу - процесс с непонятным именем долбится по всем портам. Я его просто убил, а этот... Как ему удалось файервол обойти?....
В общем буду благодарен любой помощи..

Хм, а что странного? Червяка одного АВЗ прибил. Еще 2 подозрительных файла найдено. С ними что?

Пройтись по этому компу нормальным антивирусом не помешает.

По меньшей мере наблюдается два зловреда-руткита + ряд подозрительных. Бортовому антитрояну Outpost такое не по зубам ...

Выполните скрипт (Файл/Выполнить скрипт):
[CODE]
begin
SearchRootkit(True, True);
SetAVZGuardStatus(True);
QuarantineFile('c:\scripts\sms\up.cmd','');
QuarantineFile('C:\WINDOWS\inet20125\services.exe','');
QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
QuarantineFile('C:\WINDOWS\system32\se.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\ss.exe.exe','');
QuarantineFile('C:\WINDOWS\system32\ntio256.sys','');
QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
QuarantineFile('C:\WINDOWS\system32:lzx32.sys','');
DeleteFile('C:\WINDOWS\system32\lzx32.sys');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
ExecuteSysClean;
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386');
DeleteService('PE386', true);
DeleteService('ntio256', true);
RebootWindows(True);
end.
[/CODE]

После выполнения скрипта компьютер автоматом уйдет на перезапуск, это нормально. После перезагрузки сделайте новые гоги и пришлите попавшие в карантин файлы.

Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
Из сети нодом32 проверял тоже самое.
Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)


А какие конкретно подозрительные файлы?

Пофиксить не помешает :
[code]
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O13 - DefaultPrefix: http://www.get-access.host.sk/hvplace/rel1.php?id=amb_DR7_
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)
[/code]
вот добавлю к списку Олега:

C:\WINDOWS\system32\protector.exe
C:\WINDOWS\TEMP\pdk-SYSTEM\04fd4c355ee4d6745039c0e26ee35bbd.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\142f1f73ea8a4ef5d97a09bc7fa12082.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\15bd0ce677d4e91f04fa9e9e0802f2c1.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\1890442fca8f85e8dd017e73c1d1412e.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\2702e0cfa88c857f61d1b1c62f021234.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\3d96fc474ad08dd2a977ee4ae0a5bb1a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\43b965ce4d04b0666c0805ec8d8aa9d7.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\44a84ae0057c065b284e031c2913b8e0.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\5a343e63ab2cfc12cc9ff69357e4c0ba.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\7c907bb62acfd587b40f44491e31264a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\9e54fd72ddb76db13cf1136140fc4678.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\b6543d2aee40262cf0606f443e84e226.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\e9131fd55372248df7d4bbb1833d68c8.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\f42c3d9928c2fbb4b98bbdef642fadd4.dll


Вот это сами ставили ? Если нет , удалите .
C:\1c-script\ftp-run.cmd
C:\Program Files\cron\cron.exe

protector.exe есть , просто так его не увидишь :)Нужно из АВЗ искать , перед этим поставить блокировку руткитов .

[QUOTE=dumer;88233]Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
Из сети нодом32 проверял тоже самое.
Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)


А какие конкретно подозрительные файлы?[/QUOTE]
Собственно указанный скрипт AVZ их и поместит в карантин. Прчто те два руткита, которые видны в логе - они оди из самых лучших - поэтому они весьма успешно маскируются от антивирусов и поиска. В скрипте AVZ идут команды их неутрализации и блокировки.

Всё сделал. Протектор вроде исчез. Спамерские пакеты продолжают успешно уходить.
Что делать?

1С-скрипт - это скрипт, сам писал.
cron - это шедулер продвинутый.
Вот новые логи.

В карантине упоминается о файлах se.exe.exe, ss.exe.exe, up.cmd
Последний это мой скрипт. Первые два я ручками удалил, после перезагрузки не появились.

Файлы из карантина отправлены?

Размер карантина 777 Кб в архиве 379. Большой для вложения.
Или только .ini-шники прислать нужно?

Правила читать нужно. Там всё написано

Здесь только два: ss.exe.exe и se.exe.exe.

Вам же написали - в правилах все написано!
[quote]8. Загрузите полученный архив по адресу [url]https://virusinfo.info/upload_virus.php[/url] , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).[/quote]

Фаил залил.
Млин, только я поторопился и сжал ВинРаром а не АВЗ. Переделать?

[quote=dumer;88267]Фаил залил.
Млин, только я поторопился и сжал ВинРаром а не АВЗ. Переделать?[/quote]
не надо.

[quote=drongo;88235]
C:\WINDOWS\TEMP\pdk-SYSTEM\04fd4c355ee4d6745039c0e26ee35bbd.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\142f1f73ea8a4ef5d97a09bc7fa12082.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\15bd0ce677d4e91f04fa9e9e0802f2c1.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\1890442fca8f85e8dd017e73c1d1412e.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\2702e0cfa88c857f61d1b1c62f021234.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\3d96fc474ad08dd2a977ee4ae0a5bb1a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\43b965ce4d04b0666c0805ec8d8aa9d7.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\44a84ae0057c065b284e031c2913b8e0.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\5a343e63ab2cfc12cc9ff69357e4c0ba.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\7c907bb62acfd587b40f44491e31264a.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\9e54fd72ddb76db13cf1136140fc4678.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\b6543d2aee40262cf0606f443e84e226.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\e9131fd55372248df7d4bbb1833d68c8.dll
C:\WINDOWS\TEMP\pdk-SYSTEM\f42c3d9928c2fbb4b98bbdef642fadd4.dll
[/quote]
После перезагрузки эти файлы появильсь снова.

Проблема в том, что один из руткитов выжил. Можно попробовать повторить этот кусок скрипта
[CODE]begin
SearchRootkit(True, True);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\lzx32.sys');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
ExecuteSysClean;
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386');
DeleteService('PE386', true);
RebootWindows(True);
end.[/CODE]

Повторил. Ничего не изменилось.
Кстати при загрузке винуза пишет, что какой-то из сервисов упал.
И темпы эти теперь удалить не могу.

И нету никаких lzx32.sys
и нету 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'
Есть lz32.dll и lzexpand.dll. Удалить их?

[QUOTE=dumer;88310]И нету никаких lzx32.sys
и нету 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'
Есть lz32.dll и lzexpand.dll. Удалить их?[/QUOTE]
Удалять ничего не нужно. Если Вы не видете чего-то, это не значит что его нет :)
Нужно повторить логи.

Новые логи. Карантин тоже закачал.

Смотрю как трафик в никуда уходит 24 часа в сутки у меня аж сердце кровью обливается. :'-(

Так и не добавилась часть файлов. Выполните скрипт
[code]begin
SearchRootkit(True, True);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inet20125\services.exe','');
QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
end.[/code]
Получившееся пришлите согласно правилам
[quote=dumer;88322]Карантин тоже закачал.
[/quote]
Карантин идентичен первому

Дело в том что один из руткитов так и не удалился. Видимо его кто0то восстанавливает.

[QUOTE=dumer;88310]И нету никаких lzx32.sys
и нету 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'
[/QUOTE]
Есть, это rootkit, причём его выковыривание из системы достаточно трудоёмко.

Попробуйте этим - [url]http://www.uploads.ejvindh.net/Rustbfix.exe[/url] после запуска будет 2 перезагрузки, и два лога c:\avenger.txt & c:\rustbfix\pelog.txt

[url=http://virusinfo.info/showthread.php?t=4491]пофиксите[/url] в Hijack -
[code]
O13 - DefaultPrefix: http://www.get-access.host.sk/hvplace/rel1.php?id=amb_DR7_
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)
[/code]


Прекрипите к следующемe сообщению 2 лога rustbfix и повторите ещё раз 1-й лог AVZ из правил.

[QUOTE=dumer;88310]Есть lz32.dll и lzexpand.dll. Удалить их?[/QUOTE]
Нет.

[quote=RiC;88350]
Попробуйте этим - [URL]http://www.uploads.ejvindh.net/Rustbfix.exe[/URL]
[/quote]
Пишет не совместимая версия ОС.
В режиме совместимости пишет это:
************************* Rustock.b-fix -- By ejvindh *************************
20.12.2006 9:44:20.40
No Rustock.b-rootkits found
******************************* End of Logfile ********************************

Загрузка стала очень медленной (около получаса)
Слетели настройки DCOM и расшареных ресурсов.
Отчего бы это?
К тому-же, я никого не вижу, и меня не видно в сетевом окружении. Не работают все программы опирающиеся на настройки прав пользователя на уровне домена.
Блин.

Уже 10 минут спам с моей машины не идёт. После перезагрузки вылез "мастер нового оборудования" может он в дровах прятался?
Темпы попрежнему не удаляются. Что-то подозрительное идёт с клиентской машины может он гад в сеть перебрался.
Закачал карантин. Вот новые логи:

[quote=dumer;88382]
Слетели настройки DCOM и расшареных ресурсов.
Блин.[/quote]
Попробуйте восстановить бэкап хайджека:
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)
Если не поможет, то снова удалите.

Хотел нарисовать скрипт, но получится дольше.
Вот маленький - для убиения taskdir, если она все же еще жива (в логах есть и должна быть видна в безопасном режиме):
[CODE]
begin
ClearQuarantine;
if SetAVZGuardStatus(True) then
AddToLog('AVZGuard успешно активирован')
else
AddToLog('AVZGuard - ошибка активации');
DeleteFile('C:\WINDOWS\system32\taskdir.exe');
DeleteFile('C:\WINDOWS\system32\taskdir~.exe');
DeleteFile('C:\WINDOWS\system32\taskdir.dll');
QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
dimsntfy.dll из карантина пришлете по Правилам, посмотрим.

Но это лирическое отступление. Что касаемо system32:lzx32.sys - если эта пакость не убита, она снова заработает. Я его убивал так :
1. Активировать AVZGuard.
2. "Сервис" - "Поиск данных в реестре". Вверху ввести lzx32.sys и Пуск.
Найденные ключи сохраните в файл для истории (покажете тут) и удалите. Далее перезагрузка, не закрывая AVZ и его Guard.
3. После перезагрузки файл system32:lzx32.sys на месте , но работать уже не будет и доступен для издевательства.
Я это делал маленькими утилитками вот отсюда:
[url]http://www.flexhex.com/docs/articles/download/streamtools.zip[/url]
Из этого 75 кБ архива пригодятся две утильки - "copy stream" CS.exe и "delete stream" DS.exe. Распакуйте из архива, скажем, в C:\streamtool.
Сначала скопируем для отправки в форум:
C:\streamtool\CS.exe C:\WINDOWS\system32:lzx32.sys C:\streamtool\trojan.sys
Потом убьем троян:
C:\streamtool\DS.exe C:\WINDOWS\system32:lzx32.sys
Можно убедиться в результате:
C:\streamtool\LS.exe C:\WINDOWS\system32

Скопированный из потока в файл C:\streamtool\trojan.sys пришлите по Правилам (в архиве с паролем virus, проще всего это делать из "Просмотра карантина AVZ - добавить по списку C:\streamtool\trojan.sys и заархивировать").

"Ошибка скрипта: Not enough actual parameters, позиция [10:16]"
Что-то я не понимаю как расшифровать [10:16].
Убрал из скрипта "if ... else..." Включил AVZGuard ручками.
В логах АВЗ написал, что фаил можно удалить только после перезагрузки. Так и не понял удалил нет...
В карантине АВЗ dimsntfy.dll нету я его ручками из систем32 вытащил.

lzx32.sys похоже убил. Высылаю карантин и где он в реестре прятался.

Раз AVZ написал, что после перезагрузки - так и есть, надо перезагрузиться. Файл будет удален в начале загрузки.

перезагрузился сразу.

Для проверки можно создать пустой файл C:\windows\system32\taskdir.exe. При этом не должно быть ошибки - значит, счастье уже убито, пустой файл можно удалить.
Этот taskdir - спамбот, умеет себя скрывать, пока работает.
Умеет обновляться и еще таскает всякую пакость по заданию с сайта - чаще всего Trojan.EmailSpy и еще какую-то тырилку паролей под именами taskdir~.exe и taskdir.dll соответственно.

Стоило бы еще очистить директории кэша IE и временных файлов - от исполняемых файлов точно надо.
%userprofile%\Temporary Internet Files\
%userprofile%\Temp
Если есть там неудаляемые - убить отложенным удалением AVZ.

У меня он аську стандартную 12 раз скачал за прошлый месяц. сцук!

[quote=Alexey P.;88441]Для проверки можно создать пустой файл C:\windows\system32\taskdir.exe. При этом не должно быть ошибки - значит, счастье уже убито, пустой файл можно удалить.
[/quote]
УРААА!!!! :D Создаётся фаил. Кажись убили гада.

Господа, бесконечно благодарен вам.
Теперь у меня другой вопрос: как благодарность вам перечислить?

[QUOTE=dumer;88447]УРААА!!!! :D Создаётся фаил. Кажись убили гада.

Господа, бесконечно благодарен вам.
Теперь у меня другой вопрос: как благодарность вам перечислить?[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=1739[/url]

Нет, я думаю, это не он аську качает. Кто-то из его компании, вроде начальный загрузчик всего этого добра - чаще всего файл win32[1].exe в кэше IE.
Проверьте всё свежим CureIt-ом или касперским на досуге как нибудь.

не могу сетевую версию касперского найти. Работу МсАфее я вижу только наличаем его значка в трее. Кукиши почистил. Ехе-ников небыло.

А если я НОД32 или касперского с мкафее поставлю они воевать не будут?

[quote=dumer;88464]А если я НОД32 или касперского с мкафее поставлю[/quote]

На одну машину? Это будет братоубийство... Одоного антивируса на машине хватает с головой!