Показано с 1 по 14 из 14.

Backdoor.R2k(Remote Explorer) ??? (заявка № 26813)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    11
    Вес репутации
    35

    Thumbs down Backdoor.R2k(Remote Explorer) ???

    Здравствуйте. Помогите найти зловреда.
    Сегодня пока сидел в инете APS(прога Зайцева) выдала что на UDP 1026.B пришла дейтограмма размером 457кб
    Я тут же вышел из сети и запустил Касперсокого на полный просмотр (KAV 7.0 базы от 21.07.2008 13:00). Он ничего не нашел.
    Тогда я запустил расширенный поиск в CureIt (версия от 19.07.200. Он тоже ничего не выявил. AVZ с расширенной эвристикой и
    базами от 20.07.2008 тоже ничего подозрительного не увидел (хотя, по правде говоря, я еще не разу не видел чтобы он что-либо
    засекал). После чего я попробовал запустить RootkitRevealer и получил следующее:
    "отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав для доступа к этому объекту".
    Попытка востановить систему через пункты 1,4,8 ничего не дала.
    После чего, я пробовал запустить весь этот антивирусный набор в безопасном режиме винды и с, созданного заблаговременно,
    диска восстновления касперыча с базами от 19.07.2008 (Revealer я правда так и не смог запустить - в безопасном и с диска
    если, то ему не хватает прав, а в обычном, AVZGuard не смог разлочить CMD.exe, которую Revealer требовал).
    Ничего не обнаружилось. (правда при запуске с диска восстновления касперский не мог проверить некоторые системные файлы - в
    логе было: что отказано в достпупе.)
    З.Ы. все антивирусные проги были переименованными мною с их дефолтных названий.

    Приложение: лог от AVZ созданный стандартным скриптом и лог от HiJackThis
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.07.2008 в 14:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('YPLECWMVR');
     DeleteService('GBUAY');
     DeleteService('ELTHIYVIEB');
     DeleteService('ECYKIVEN');
     QuarantineFile('C:\DOCUME~1\j\LOCALS~1\Temp\YPLECWMVR.exe','');
     QuarantineFile('C:\DOCUME~1\j\LOCALS~1\Temp\GBUAY.exe','');
     QuarantineFile('C:\DOCUME~1\j\LOCALS~1\Temp\ELTHIYVIEB.exe','');
     QuarantineFile('C:\DOCUME~1\j\LOCALS~1\Temp\ECYKIVEN.exe','');
     DeleteFile('C:\DOCUME~1\j\LOCALS~1\Temp\ECYKIVEN.exe');
     DeleteFile('C:\DOCUME~1\j\LOCALS~1\Temp\ELTHIYVIEB.exe');
     DeleteFile('C:\DOCUME~1\j\LOCALS~1\Temp\GBUAY.exe');
     DeleteFile('C:\DOCUME~1\j\LOCALS~1\Temp\YPLECWMVR.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    11
    Вес репутации
    35
    готово
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    В логах чисто. Какие ещё проблемы наблюдаете?

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    11
    Вес репутации
    35
    Минуты через две после входа в систему под админом получаю:
    "отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав для доступа к этому объекту".
    при попытке запустить любой экзешник. Под ограниченной учеткой такого нет.
    Попытка востановить систему через пункты 1,4,8 AVZ ничего не дает. Говорит что все успешно но сообщение все равно появляется.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    восстановление пункт 6 выполняли ?

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    11
    Вес репутации
    35
    Да. не помогло.

    Добавлено через 2 часа 22 минуты

    SpyWare Detector нашел
    Trojan.Agent
    (%windir%\system32\dllcache\fixmapi.exe, %windir%\system32\fixmapi.exe)
    Trojan.FakeAlert
    (%windir%\system32\dllcache\calc.exe, %windir%\system32\calc.exe)
    При моей попытке скинуть их в карантин я удалил их и в карантин они почему то не попали, хотя я жал по кнопке "скопировать выделнное в карантин".
    Я отправил на VirusTotal svchost.exe и два антивиря(Avast,GData) нашли в нем Win32:Rootkit-gen

    Можете подсказать, как побороть?
    Последний раз редактировалось gfx00; 22.07.2008 в 12:07. Причина: Добавлено

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от gfx00 Посмотреть сообщение
    Д
    При моей попытке скинуть их в карантин я удалил их и в карантин они почему то не попали, хотя я жал по кнопке "скопировать выделнное в карантин".
    Я отправил на VirusTotal svchost.exe и два антивиря(Avast,GData) нашли в нем Win32:Rootkit-gen
    больше это похоже на ложное срабатывание ... если авз не добавлял в карантин - значит файлы в базе безопасных , svchost.exe случайно не удалили ?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от gfx00 Посмотреть сообщение
    Я отправил на VirusTotal svchost.exe и два антивиря(Avast,GData) нашли в нем Win32:Rootkit-gen
    Это не 2 Антивиря: GDATA - двухмоторный антивирус, один из моторов - от Аваста , второй - от Каспера.

  11. #10
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    11
    Вес репутации
    35
    Нет, svchost не удалил.
    Ложное, тоды хорошо, но проблема лишения меня прав доступа под учеткой админа осталась. Сейчас обнаружил что "оно" при старте системы включает автозапуск с устройств.
    Думаю отследить процессс помощью RegMon по ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\

  12. #11
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    11
    Вес репутации
    35
    Пошарив по сети, нашел, что прав доступа к файлам меня лишает все таки какой то процесс. Но не могу никак отловить его среди той кучи сервисов которые пускаются. Подскажите как его можно засечь - ни антивири, ни AVZ, ни Ade-Aware, ни другое анти шпионское ПО его не видят. А если вручную то моих знаний явно не хватает чтобы вычленить что то среди кучи запущенных длл-ок и сервисов

  13. #12
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    11
    Вес репутации
    35
    Знание пришло, но слишком поздно - винт был уже отформатировал.
    Виноват оказался AVZ со своим AVZGuard. И хоть бы где написали бы, что у него может проявиться такой "эффект". столько времени и нервов было потрачено на борьбу с "ветряными мельницами" не передать...

    Просьба к "помошникам": если будут обращения на отказ в доступе, заикнитесь, что AVZ тоже способен генерировать такую ситуацию.

    Тема закрыта.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от gfx00 Посмотреть сообщение
    Виноват оказался AVZ со своим AVZGuard.
    Виноват оказался тот, кто правила не дочитал
    При выполнении логов/лечения у Вас работали резидентно:
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    а надо было
    Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер
    Особенно с АдАваре, как антималварной программы примерно сходной по назначению с АВЗ, у AVZGuard могут быть столкновения.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) gfx00, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.07.2010, 14:34
    2. Microsoft Internet Explorer allows remote code execution
      От Shu_b в разделе Уязвимости
      Ответов: 15
      Последнее сообщение: 18.01.2010, 16:03
    3. Eset Remote Administrator!
      От Tr@der в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.04.2008, 11:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01107 seconds with 17 queries