Две недели борьбы - RootKit?

**Dr. Byaka** · 01.10.2007, 16:35

Здравствуйте!
Уже 2 недели борюсь со всякой гадостью, которая после вроде как успешного лечения возникает вновь...
Не могли бы Вы проконсультировать - кто виноват и что делать? %)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 01.10.2007, 16:46

1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ldr34.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\Teyo55.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Qoxg59.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Okc30.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Mlx54.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Xbey38.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Xbey38.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ldr34.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\Teyo55.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Qoxg59.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Okc30.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Mlx54.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

3. После перезагрузки пришлите карантин согласно приложению 3 правил.
4. Очистите временные файлы IE.
5. Сделайте новые логи.

**Dr. Byaka** · 01.10.2007, 16:54

По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?

**PavelA** · 01.10.2007, 17:00

Почему логи сделаны в Safe Mode? В норм. не получилось?

**Numb** · 01.10.2007, 17:02

Да. Только выполнять нужно, загрузившись в обычном режиме (не в Safe mode) и с правами локального администратора. Перед выполнением скрипта, предложенного Bratez, отключитесь от сети и отключите антивирусный монитор.

**Dr. Byaka** · 01.10.2007, 17:09

1.По какой-то причине у меня отсутствует закладка "Восстановление системы" в свойствах компьютера, выполнять остальное?
2. Скрипт в AVZ выполнил в safemode с сетевыми дровами, т.к. в обычном режиме вылетает в синий экран во время выполнения скрипта.
3. После перезагрузки послал карантин согласно приложению 3 правил
Компьютер "живёт" в домене и авторизоваться при отключенной сети даст только в safemode
4. Очистил куки и временные файлы IE.

**Dr. Byaka** · 01.10.2007, 17:30

Эти два лога? или syscure тоже надо сделать?

**Bratez** · 01.10.2007, 17:40

Видно, что скрипт выполнен успешно, но все же сделайте syscure для полной уверенности. Как самочувствие больного?

Добавлено через 2 минуты

>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

Диск F - это CD?

**Dr. Byaka** · 01.10.2007, 17:47

нет, это флешка, отключить? или нехай с ней?

**Bratez** · 01.10.2007, 17:49

Пришлите по правилам F:\autorun.inf

**Dr. Byaka** · 01.10.2007, 18:33

авторан загружен

**PavelA** · 01.10.2007, 18:35

Станд. "самоход" в autorun. Задача будет такая: чистить все съемные диски от autorun.inf

**Dr. Byaka** · 01.10.2007, 18:44

1. На этот раз syscure прошёл в обычном режиме (не в сейфе)
2. Перегрузился и сделал syscheck
3. я правильно понял? autorun - инфицирован? можно просто их поубивать со всех дисков без помещения в корзину? или это будет неправильно?

**Bratez** · 01.10.2007, 18:55

Запустите проводник, включите показ скрытых и системных файлов и на всех дисках ищите и удаляйте:
\autorun.inf
\Recycled\ctfmon.exe
выбирая диски строго по дереву в левой части окна.

Добавлено через 3 минуты

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\Uxq51.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[2].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EVY7C1KZ\n2_18_09_07_0[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Добавлено через 3 минуты

И вот напоследок:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Что из этого не нужно - надо отключить.

**Dr. Byaka** · 01.10.2007, 18:56

на жёстких дисках вместо корзины была папка RECYCLER, в ней по 2 раза desktop.ini - убиты
на флешке корзина была - теже файлы, убиты
авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)

**Bratez** · 01.10.2007, 18:58

авторан был только на флешке,
\Recycled\ctfmon.exe убил неделю назад %)

Значит опасности уже не было. Что ж, в нашем деле лучше перебдеть...

**Dr. Byaka** · 01.10.2007, 19:11

скрипт выполнил, пегрегрузился
отключил автозапуск сдром и удалённый реестр, остальное - ? что такое SSDP?

**PavelA** · 01.10.2007, 19:42

http://oszone.net/5681/Windows_Services - обо всех службах.

**Dr. Byaka** · 01.10.2007, 20:07

спасибо за ссылку, лишнее поотключал, однако остался ряд неприятных моментов:
1. Отсутствует закладка с восстановлением системы
2. неудаётся включить брандмауер, сдаётся мне, что после лечения его антивирусами
это лечится? %)