Показано с 1 по 13 из 13.

Если можно, то помогите разобраться (заявка № 156165)

  1. #1
    Junior Member Репутация
    Регистрация
    02.03.2014
    Сообщений
    8
    Вес репутации
    15

    Если можно, то помогите разобраться

    Я админ на небольшом предприятии. Системы разные. От Win XP до Win 7. На предприятии доменная система на виртуальном 2003 сервере, который физически расположен на 2008 сервере на Hiper-V.

    Обратила внимание, что стала забиваться сеть. От перегрузок сети подвисает модем на Инет.
    Из ошибок у пользователей - не находят контроллер домена. Кажется у ХР это 1054 ошибка.

    На виртуальном 2003 сервере странные пользователи получают IP по DHCP. Выбрасываю. К одному из пользователей не применяется групповая политика.

    Но самое интересное это 2008 сервер. По запросу arp -a находятся неизвестные IP & MAC. Присваивала по очереди себе эти неизвестные IP и прошла ошибка на 2003 по поводу невозможности применить групповую политику.

    Среди неизвестных IP на 2008 сервере есть широковещательные типа 255.255.255.255 и mac ff-ff-ff-ff-ff-ff-ff.
    У нас стандартные настройки сети с параметрами 192.168.55.0 и маской 255.255.255.0 и странные адреса обнаруживает arp -a типа 192.168.1.1. и 192.168.55.255

    Одна виртуальная сетевая карта на физическом 2008 перенастроилась и несуществующего 172.172.1.1 на 169.254.ххх.ххх с мас ffffffffffffff. Появились статические адреса, прикреплённые к этой виртуальной сетевой карте типа: 224.0.0.ХХХ и 239.255.ХХХ.ХХХ.
    По поводу статических сетевых адресов - я давно настраивала этот сервер и могла просто забыть про эти адреса - может быть они для Hyper-V нужны и если я их убью, то виртуальный сервер перестанет работать? Потому не трогаю пока, пока кто-нибудь не подскажет что с этим делать.
    ************************************************** ***************************
    Теперь по поводу простых машин пользователей.

    По некоторым прошлась avz. Почти ничего не находит, но есть подозрительные симптомы (Возможно я просто параноик и пишу не по теме, но мне кажется что у нас SHADOW какой-то гуляет в сети.)

    На ХР:

    1-я разновидность вируса:

    AVZ в автозагрузке находит в папках локальных пользователей (Мои документы\имя пользователя или Мои док\Имя пользователя\App.....) файлы с разными названиями. Удаляю из автозагрузки, а они появляются под другими названиями и в другом пользователе или чуть другой папочке после перезагрузки.
    У этих машин, если открыть avz "Открытые порты TCP/UDP", то у всех будет подозрительная строка
    \\??\c:\windows\system32..... и куда-то там дальше. Избавиться от этой строки не получилось никаким способом и понять куда она ссылается тоже проблематично, но может быть это та же строка, что и %SystemRoot% просто другими словами?

    2-я разновидность вируса.

    Подозрение на менее страшные вирусы в ХР:
    MsSipххх.dll в автозагрузке.
    Возможно подмена файла c\Windows\System32\logon.scr на вирус.
    подозрительные: deskpan.dll, mvfs32.dll (вызвал подозрение из-за названия ветки реестра, потому что по этой ветке реестра был вирусный ключ: ZZZZ1_FirstLogonSetting и ZZZZ2_FirstLogonSetting и ZZZZ3_FirstLogonOOBE_FIX, которые ссылались на файл custom.inf в папке c:\windows\inf и меняли реестр%SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\custom.inf,NewUserFirstLogonInstall,0 и %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\syssetup.inf,RESTORE_OOBE_ACTIVATE,0) и много чего ещё интересного делали типа отключения антивирусника и брандмауэра.
    Очень много файлов типа ieframe.dll & browsei.dll (у здоровых машин их значительно меньше)

    ХР часто коннектятся чуть ли не ко всем машинам в сети, если посмотреть "Открытые порты TCP/UDP" и очень много портов открыто помимо 445, 139.

    ХР не лечится никакими способами и никто ничего не находит. Пробовала AVZ, ComboFix, Hijack…, cureit.

    Из подозрительных файлов в менеджере пространства ядра вижу: c:\spcv.sys & tap0901.sys в c:\windows\system32\drivers\, а также дампы памяти с расширением сис.


    ******

    На Win7 совсем другая картина. На некоторых нашла подозрения Trojan-Downloader.Win32.AutoIt.q и Trojan.Win32.Agent2.byu.
    Но это только подозрения на эти вирусы. На одной машине проэкспериментировала и удалила все эти подозрительные файлы, но система работает и вирус всё ещё есть.

    Вирус очень экзотичный - замаскированные под системные сторонние PIDы, если смотреть в avz "Диспетчер процессов". Пиды эти без названия и ничего кроме их номера, горящего красным цветом нет. Убиваешь пид и он рождает 2-3 новых пида вместо себя. Итого у меня уже где-то 30 пидов без имени на 7-ке

    Обновления и антивирусники - отключены были.
    Обновления Win7 не помогают. Ни один известный антивирусник не лечит.
    Что ещё заметила по поводу этого вируса. У Windows есть утилита process explorer, которая позволяет посмотреть процессы на ПК и их составляющие (DLL или что-то там ещё). Так вот на 7-ке эта утилита показывает здоровые процессы нормально, а заражённые системные процессы показывает как «Ошибка открытия процесса» и ещё если смотреть DLL этих процессов, то все они будут <Unknown>

    Из подозрительного вижу только файлы с дампами памяти в «модули пространства ядра» avz. Скопировать файлы damp_xxxx.sys не удаётся – пишет ошибка чтения.

    Я прошу прощения, что так много написала. Возможно, что мои страдания очень преувеличены и проблемы вообще нет и есть она только в моей голове

    Но никогда не знаешь какая информация окажется важной и поможет опознать вирус, если у меня не новый вирус.

    Логи есть и могу выложить на ХРшку сейчас, а на 7-ку или вечером или завтра утром.

    По поводу серверов - сама виновата и сама дура - оставляла РДП и уходила к пользователям. Вирус мог делать что угодно, пока меня нет.

    Есть подозрение, как подхватила вирус - флеш-плэйер на какой-то страничке сайта попросил обновиться.... и второе подозрение - письмо счастья пришло по почте. Но теперь уже, конечно, концов не найдёшь.
    Мне кажется, что распространению вируса помогла сама. Возможно, он прописался на моей флешке и я его разнесла по пользователям сети. Всплывало сообщение что-то типа: "... файл многотомного архива .zip" "Да"-"Нет". Но ни одного постороннего файла на моей флешечке не было типа autoran.inf или чего-то ещё, чего я не записала сама на флешку ( Получив это окошко на десятке ПК - скопировала информацию и отформатировала флешку после чего эта просьба что-то там сделать с многотомным архивом пропала, хотя всю информацию затолкала обратно на флешку

    В последнее время и на серверах и у пользователей стала отваливаться MMC . Когда заходишь в службы пишет ошибку, что остановлена MMC из-за ошибки и варианты действий: остановить, искать решение в Инете...

    PS: пишу вам впервые, потому не судите строго У меня подозрение на Shadow
    Последний раз редактировалось Иринка7777777; 03.03.2014 в 17:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Иринка7777777, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    02.03.2014
    Сообщений
    8
    Вес репутации
    15
    Что ещё из особенностей поведения системы замечено:

    Забанили в Гугле Нужно ввести спец символы и доказать, что ты не бот, чтобы воспользоваться поисковиком. Но это не всегда было. Это было несколько месяцев назад.

    Перестают работать такие приложения, как Spotflux (бесплатный VPN) & торрент. Торрентом качаем обновление баз антивирусника.

    Если порты этих приложений изменить, то всё начинает работать как надо.

    Ещё одна особенность наблюдалась в сети - пользовательские заражённые машины становились обозревателями сети вместо сервера

    Не знаю у вас настройки такие или это мой вирус шалит и сбрасывает пароли, ворует сессии, но меня регулярно выбрасывает с вашего сайта, хотя я ставлю птичку "Запомнить меня" и снова зайти получается только с новой закладки браузера. Со старой закладки браузера невозможно ввести логин и пароль и несколько банов по 15 минут я уже получила.
    Последний раз редактировалось Иринка7777777; 03.03.2014 в 18:00.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,327
    Вес репутации
    1028
    ХР не лечится никакими способами и никто ничего не находит. Пробовала AVZ, ComboFix, Hijack…, cureit
    Есть возможность выполнить откат до того момента когда вы начали заниматься самолечением?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  6. #5
    Junior Member Репутация
    Регистрация
    02.03.2014
    Сообщений
    8
    Вес репутации
    15
    Пожалуй нет. Могу переустановить систему специально для вас и подхватить всё, что можно при входе в домен. Это я могу.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,327
    Вес репутации
    1028
    Ладно сделайте тогда логи по правилам раздела. Настройки AVZ используйте по умолчанию. Если ранее включали AVZPM удалите его.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  8. #7
    Junior Member Репутация
    Регистрация
    02.03.2014
    Сообщений
    8
    Вес репутации
    15
    В первом посте я описала три варианта событий на разных машинах. Так вот логи по варианту ХР пункт 2.

    По Win-7 или по варианту ХР 1-й пункт событий логи ещё нужно собирать... Но если поможете хоть с одним вариантом и то будет хорошо уже. Спасибо, кстати, что обратили внимание и отозвались, что бы помочь


    Но я боюсь, что если это какой-то бот-нет, то нужна не точечная помощь, а включение этих случаев в антивирусные базы иначе после лечения снова заразимся.... Как бы этого добиться, чтобы антивирусные корпорации обратили на нас внимание?

    Хотя могет у меня всё же паранойя Подождём, что скажут эксперты
    Последний раз редактировалось Иринка7777777; 03.03.2014 в 17:35.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,327
    Вес репутации
    1028
    Карантин я не просил прикреплять и логи просьба на форум выкладывать.

    Правила

    Как оформить заявку в разделе "Помогите!"
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  10. Это понравилось:


  11. #9
    Junior Member Репутация
    Регистрация
    02.03.2014
    Сообщений
    8
    Вес репутации
    15
    Скачатьvirusinfo_syscure.zip
    Скачатьvirusinfo_syscheck.zip
    СкачатьhijackthisJob.log
    Дико извиняюсь. Зарапортовалась.
    Сейчас всё что смогу подгружу


    Завтра могу сбросить данные с непролеченной машинки, если кому-то надо для опыта и выработки способа борьбы с аналогичной ерундой.
    А по логам, что выложила - всё уже обезврежено и в карантинах AVZ


    PS: учитесь на моём горьком опыте, а не на своём
    Последний раз редактировалось Иринка7777777; 03.03.2014 в 18:01.

  12. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,327
    Вес репутации
    1028
    Закройте все программы

    Отключите
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('D:\RECYCLER\S-1-5-21-291412342-271745346-2588547992-1463\Dd358.exe','');
     DeleteFile('D:\RECYCLER\S-1-5-21-291412342-271745346-2588547992-1463\Dd358.exe','32');  
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи AVZ

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  13. Это понравилось:


  14. #11
    Junior Member Репутация
    Регистрация
    02.03.2014
    Сообщений
    8
    Вес репутации
    15
    Скачатьmbam-log-2014-03-04 (08-50-33).txt
    Спасибо огромное за помощь. Теперь буду знать что и где искать на машинах пользователей.


    AVZ в автозагрузке находит в папках локальных пользователей (Мои документы\имя пользователя или Мои док\Имя пользователя\App.....) файлы с разными названиями. Удаляю из автозагрузки, а они появляются под другими названиями и в другом пользователе или чуть другой папочке после перезагрузки.
    У этих машин, если открыть avz "Открытые порты TCP/UDP", то у всех будет подозрительная строка
    \\??\c:\windows\system32..... и куда-то там дальше. Избавиться от этой строки не получилось никаким способом и понять куда она ссылается тоже проблематично, но может быть это та же строка, что и %SystemRoot% просто другими словами?


    А этот случай рассмотрите? Логи собирать?

  15. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,327
    Вес репутации
    1028
    Сделайте новые логи AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  16. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 40
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Иринка7777777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 29.04.2011, 17:35
    2. Помогите разобраться как можно удалить вирус
      От Скорпио_шка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.06.2009, 23:38
    3. Ответов: 1
      Последнее сообщение: 04.06.2009, 11:44
    4. Ответов: 9
      Последнее сообщение: 23.03.2009, 13:03
    5. Ответов: 3
      Последнее сообщение: 05.03.2008, 22:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01290 seconds with 16 queries