-
Junior Member
- Вес репутации
- 38
Если можно, то помогите разобраться
Я админ на небольшом предприятии. Системы разные. От Win XP до Win 7. На предприятии доменная система на виртуальном 2003 сервере, который физически расположен на 2008 сервере на Hiper-V.
Обратила внимание, что стала забиваться сеть. От перегрузок сети подвисает модем на Инет.
Из ошибок у пользователей - не находят контроллер домена. Кажется у ХР это 1054 ошибка.
На виртуальном 2003 сервере странные пользователи получают IP по DHCP. Выбрасываю. К одному из пользователей не применяется групповая политика.
Но самое интересное это 2008 сервер. По запросу arp -a находятся неизвестные IP & MAC. Присваивала по очереди себе эти неизвестные IP и прошла ошибка на 2003 по поводу невозможности применить групповую политику.
Среди неизвестных IP на 2008 сервере есть широковещательные типа 255.255.255.255 и mac ff-ff-ff-ff-ff-ff-ff.
У нас стандартные настройки сети с параметрами 192.168.55.0 и маской 255.255.255.0 и странные адреса обнаруживает arp -a типа 192.168.1.1. и 192.168.55.255
Одна виртуальная сетевая карта на физическом 2008 перенастроилась и несуществующего 172.172.1.1 на 169.254.ххх.ххх с мас ffffffffffffff. Появились статические адреса, прикреплённые к этой виртуальной сетевой карте типа: 224.0.0.ХХХ и 239.255.ХХХ.ХХХ.
По поводу статических сетевых адресов - я давно настраивала этот сервер и могла просто забыть про эти адреса - может быть они для Hyper-V нужны и если я их убью, то виртуальный сервер перестанет работать? Потому не трогаю пока, пока кто-нибудь не подскажет что с этим делать.
************************************************** ***************************
Теперь по поводу простых машин пользователей.
По некоторым прошлась avz. Почти ничего не находит, но есть подозрительные симптомы (Возможно я просто параноик и пишу не по теме, но мне кажется что у нас SHADOW какой-то гуляет в сети.)
На ХР:
1-я разновидность вируса:
AVZ в автозагрузке находит в папках локальных пользователей (Мои документы\имя пользователя или Мои док\Имя пользователя\App.....) файлы с разными названиями. Удаляю из автозагрузки, а они появляются под другими названиями и в другом пользователе или чуть другой папочке после перезагрузки.
У этих машин, если открыть avz "Открытые порты TCP/UDP", то у всех будет подозрительная строка
\\??\c:\windows\system32..... и куда-то там дальше. Избавиться от этой строки не получилось никаким способом и понять куда она ссылается тоже проблематично, но может быть это та же строка, что и %SystemRoot% просто другими словами?
2-я разновидность вируса.
Подозрение на менее страшные вирусы в ХР:
MsSipххх.dll в автозагрузке.
Возможно подмена файла c\Windows\System32\logon.scr на вирус.
подозрительные: deskpan.dll, mvfs32.dll (вызвал подозрение из-за названия ветки реестра, потому что по этой ветке реестра был вирусный ключ: ZZZZ1_FirstLogonSetting и ZZZZ2_FirstLogonSetting и ZZZZ3_FirstLogonOOBE_FIX, которые ссылались на файл custom.inf в папке c:\windows\inf и меняли реестр%SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\custom.inf,NewUserFirstLogonInstall,0 и %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\syssetup.inf,RESTORE_OOBE_ACTIVATE,0) и много чего ещё интересного делали типа отключения антивирусника и брандмауэра.
Очень много файлов типа ieframe.dll & browsei.dll (у здоровых машин их значительно меньше)
ХР часто коннектятся чуть ли не ко всем машинам в сети, если посмотреть "Открытые порты TCP/UDP" и очень много портов открыто помимо 445, 139.
ХР не лечится никакими способами и никто ничего не находит. Пробовала AVZ, ComboFix, Hijack…, cureit.
Из подозрительных файлов в менеджере пространства ядра вижу: c:\spcv.sys & tap0901.sys в c:\windows\system32\drivers\, а также дампы памяти с расширением сис.
******
На Win7 совсем другая картина. На некоторых нашла подозрения Trojan-Downloader.Win32.AutoIt.q и Trojan.Win32.Agent2.byu.
Но это только подозрения на эти вирусы. На одной машине проэкспериментировала и удалила все эти подозрительные файлы, но система работает и вирус всё ещё есть.
Вирус очень экзотичный - замаскированные под системные сторонние PIDы, если смотреть в avz "Диспетчер процессов". Пиды эти без названия и ничего кроме их номера, горящего красным цветом нет. Убиваешь пид и он рождает 2-3 новых пида вместо себя. Итого у меня уже где-то 30 пидов без имени на 7-ке
Обновления и антивирусники - отключены были.
Обновления Win7 не помогают. Ни один известный антивирусник не лечит.
Что ещё заметила по поводу этого вируса. У Windows есть утилита process explorer, которая позволяет посмотреть процессы на ПК и их составляющие (DLL или что-то там ещё). Так вот на 7-ке эта утилита показывает здоровые процессы нормально, а заражённые системные процессы показывает как «Ошибка открытия процесса» и ещё если смотреть DLL этих процессов, то все они будут <Unknown>
Из подозрительного вижу только файлы с дампами памяти в «модули пространства ядра» avz. Скопировать файлы damp_xxxx.sys не удаётся – пишет ошибка чтения.
Я прошу прощения, что так много написала. Возможно, что мои страдания очень преувеличены и проблемы вообще нет и есть она только в моей голове
Но никогда не знаешь какая информация окажется важной и поможет опознать вирус, если у меня не новый вирус.
Логи есть и могу выложить на ХРшку сейчас, а на 7-ку или вечером или завтра утром.
По поводу серверов - сама виновата и сама дура - оставляла РДП и уходила к пользователям. Вирус мог делать что угодно, пока меня нет.
Есть подозрение, как подхватила вирус - флеш-плэйер на какой-то страничке сайта попросил обновиться.... и второе подозрение - письмо счастья пришло по почте. Но теперь уже, конечно, концов не найдёшь.
Мне кажется, что распространению вируса помогла сама. Возможно, он прописался на моей флешке и я его разнесла по пользователям сети. Всплывало сообщение что-то типа: "... файл многотомного архива .zip" "Да"-"Нет". Но ни одного постороннего файла на моей флешечке не было типа autoran.inf или чего-то ещё, чего я не записала сама на флешку ( Получив это окошко на десятке ПК - скопировала информацию и отформатировала флешку после чего эта просьба что-то там сделать с многотомным архивом пропала, хотя всю информацию затолкала обратно на флешку
В последнее время и на серверах и у пользователей стала отваливаться MMC . Когда заходишь в службы пишет ошибку, что остановлена MMC из-за ошибки и варианты действий: остановить, искать решение в Инете...
PS: пишу вам впервые, потому не судите строго У меня подозрение на Shadow
Последний раз редактировалось Иринка7777777; 03.03.2014 в 18:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Иринка7777777, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 38
Что ещё из особенностей поведения системы замечено:
Забанили в Гугле Нужно ввести спец символы и доказать, что ты не бот, чтобы воспользоваться поисковиком. Но это не всегда было. Это было несколько месяцев назад.
Перестают работать такие приложения, как Spotflux (бесплатный VPN) & торрент. Торрентом качаем обновление баз антивирусника.
Если порты этих приложений изменить, то всё начинает работать как надо.
Ещё одна особенность наблюдалась в сети - пользовательские заражённые машины становились обозревателями сети вместо сервера
Не знаю у вас настройки такие или это мой вирус шалит и сбрасывает пароли, ворует сессии, но меня регулярно выбрасывает с вашего сайта, хотя я ставлю птичку "Запомнить меня" и снова зайти получается только с новой закладки браузера. Со старой закладки браузера невозможно ввести логин и пароль и несколько банов по 15 минут я уже получила.
Последний раз редактировалось Иринка7777777; 03.03.2014 в 19:00.
-
ХР не лечится никакими способами и никто ничего не находит. Пробовала AVZ, ComboFix, Hijack…, cureit
Есть возможность выполнить откат до того момента когда вы начали заниматься самолечением?
-
-
Junior Member
- Вес репутации
- 38
Пожалуй нет. Могу переустановить систему специально для вас и подхватить всё, что можно при входе в домен. Это я могу.
-
Ладно сделайте тогда логи по правилам раздела. Настройки AVZ используйте по умолчанию. Если ранее включали AVZPM удалите его.
-
-
Junior Member
- Вес репутации
- 38
-
Карантин я не просил прикреплять и логи просьба на форум выкладывать.
Правила
Как оформить заявку в разделе "Помогите!"
-
-
Junior Member
- Вес репутации
- 38
Скачатьvirusinfo_syscure.zip
Скачатьvirusinfo_syscheck.zip
СкачатьhijackthisJob.log
Дико извиняюсь. Зарапортовалась.
Сейчас всё что смогу подгружу
Завтра могу сбросить данные с непролеченной машинки, если кому-то надо для опыта и выработки способа борьбы с аналогичной ерундой.
А по логам, что выложила - всё уже обезврежено и в карантинах AVZ
PS: учитесь на моём горьком опыте, а не на своём
Последний раз редактировалось Иринка7777777; 03.03.2014 в 19:01.
-
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('D:\RECYCLER\S-1-5-21-291412342-271745346-2588547992-1463\Dd358.exe','');
DeleteFile('D:\RECYCLER\S-1-5-21-291412342-271745346-2588547992-1463\Dd358.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
-
-
Junior Member
- Вес репутации
- 38
Скачатьmbam-log-2014-03-04 (08-50-33).txt
Спасибо огромное за помощь. Теперь буду знать что и где искать на машинах пользователей.
AVZ в автозагрузке находит в папках локальных пользователей (Мои документы\имя пользователя или Мои док\Имя пользователя\App.....) файлы с разными названиями. Удаляю из автозагрузки, а они появляются под другими названиями и в другом пользователе или чуть другой папочке после перезагрузки.
У этих машин, если открыть avz "Открытые порты TCP/UDP", то у всех будет подозрительная строка
\\??\c:\windows\system32..... и куда-то там дальше. Избавиться от этой строки не получилось никаким способом и понять куда она ссылается тоже проблематично, но может быть это та же строка, что и %SystemRoot% просто другими словами?
А этот случай рассмотрите? Логи собирать?
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 40
- В ходе лечения вредоносные программы в карантинах не обнаружены
-