Показано с 1 по 12 из 12.

Подозрение на rootkit. (заявка № 42999)

  1. #1
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    9
    Вес репутации
    55

    Thumbs down Подозрение на rootkit.

    Сегодня произошла непредвиденная остановка терминального сервера (питание есть, сервер работает, нет сигнала на мониторе, нет реакции на нажатие клавиш, нет индикации активности дисков).
    После перезагрузки были проблемы с подключением части терминальных клиентов.

    В журнале системы появились подозрительные ошибки:

    Код:
        Тип события:    Ошибка
      Источник события:       Service Control Manager
      Категория события:     Отсутствует
      Код события:   7028
      Дата:                    01.04.2009
      Время:                17:37:23
      Пользователь:                                Н/Д
      Компьютер:     SRV006
      Описание:
      В разделе реестра kgyjjnokbhy запрещен доступ к программам 
    учетной записи SYSTEM, поэтому владельцем раздела реестра 
    стал диспетчер служб.
    При очередной перезагрузке (после проверки в безопасном режиме утилитой CureIt) было зависание на этапе восстановления сетевых подключений.
    Утилита при проверке ничего не нашла.
    Установленный на сервере КАВ 6 тоже не выдавал сообщений об обнаружении вирусов на время сбоя.

    Логи диагностики прилагаются.

    Надеюсь на помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('kgyjjnokbhy');
     QuarantineFile('C:\WINDOWS\system32\drivers\ibquje.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\ibquje.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\00000ED2.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('kgyjjnokbhy');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    9
    Вес репутации
    55
    Карантин выслан. Логи повторю с утра..

    Спасибо за быстрый ответ.

    После выполнения рекомендованного скрипта ошибки в журнале системы перестали появляться.

    Логи повторил. Высылаю

    Очень смущает меня вот эта запись
    Код:
    Running processes:
    C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe
    Вообще, странно что эта папка появилась в профиле.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 02.04.2009 в 11:55.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто...

  6. #5
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    9
    Вес репутации
    55
    Цитата Сообщение от Гриша Посмотреть сообщение
    В логах чисто...
    Это хорошо. Спасибо!

    Осталось только несколько вопросов:
    1. Что за каталоги C:\Documents and Settings\administrator\WINDOWS\ в профилях всех пользователей на этом сервере? Они реально существуют и в них находятся файлы.

    На "чистых" серверах в профилях пользователя таких папок нет.


    2. Что за процесс запущен из папки

    C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe
    (в проводнике я такого файла в этом каталоге не вижу) или это глюк AVZ под w3k и на самом деле запущен процесс
    C:\WINDOWS\System32\smss.exe?


    3. Что за вирус мы подцепили на этом сервере и какая у него была деструктивная функция?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Igor_ Посмотреть сообщение
    2. Что за процесс запущен из папки
    C:\Documents and Settings\administrator\WINDOWS\System32\smss.exe
    (в проводнике я такого файла в этом каталоге не вижу) или это глюк AVZ под w3k и на самом деле запущен процесс
    Это глюк АВЗ на серваках. Собственно и по первому вопросу тот же ответ
    Цитата Сообщение от Igor_ Посмотреть сообщение
    3. Что за вирус мы подцепили на этом сервере и какая у него была деструктивная функция?
    ibquje.sys - Trojan.Win32.Tdss.wlf

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Igor_ Посмотреть сообщение
    1. Что за каталоги C:\Documents and Settings\administrator\WINDOWS\ в профилях всех пользователей на этом сервере? Они реально существуют и в них находятся файлы.
    Особенность терминального сервера. Отсюда и характерные глюки всех программ исследования.

  9. #8
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    9
    Вес репутации
    55
    Цитата Сообщение от pig Посмотреть сообщение
    Особенность терминального сервера. Отсюда и характерные глюки всех программ исследования.
    Я про реально существующие папки на зараженном сервере, а не про запись в логе.
    На "чистом" терминальном сервере этих папок нет.
    На сколько я знаю, никаких папок Windows в профилях пользователей быть не должно.

    Кстати, позавчера переустановил на нем антивирус. Вместо КАВ для FS поставил Enterprise. Сначала все было нормально, но после очередной перезагрузки выскочило предупреждение об ошибке при запуске служб. В результате, не запущены службы Netlogon и еще несколько связанных с сетью служб. К сожалению, не я перезагружал сервер. Рассказали мне об этом уже утром.
    Запустить службы вручную не удается. Более подробно опишу в Пн. Хотя, м.б. будет быстрее и правильнее переустановить этот сервер с нуля, чем вылавливать остатки блох..
    Последний раз редактировалось Igor_; 04.04.2009 в 10:01. Причина: Дополнение

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Igor_ Посмотреть сообщение
    Я про реально существующие папки на зараженном сервере, а не про запись в логе.
    На "чистом" терминальном сервере этих папок нет.
    На сколько я знаю, никаких папок Windows в профилях пользователей быть не должно.
    У пользователей терминального сервера эти папки как раз и есть. Сам видел.

  11. #10
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    9
    Вес репутации
    55
    Вчера выяснил, что сбой описанный выше (в №8 сообщении) похоже вызван тем, что на сервере отсутствует служба Net Logon (Сетевой вход в систему)
    В списке служб ее вообще нет..
    Как она пропала не понятно.. И как ее проще восстановить?

    Потратив три дня на попытку разобраться, что же мешает службам запускаться, решил переустановить сервер.
    Последний раз редактировалось Rene-gad; 10.04.2009 в 17:47.

  12. #11
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    9
    Вес репутации
    55

    история продолжается...

    История еще не закончилась. После перестановки системы были обнаружены проблемы с подключением к серверу. После 10-15 минут работы пропадает пинг его IP и становится невозможно подключиться по RDP. С консоли сервера доступ к сети есть. Каких либо проблем в работе не обнаружено.

    Однако, в процессе выяснения причин такого поведения в групповых политиках случайно обнаружил "левые" правила:

    Код:
                
    Windows Firewall: Allow inbound file and printer sharing exception
    Allow unsolicited incoming messages from   these IP addresses: 192.168.0.108
    и

    Код:
    Windows Firewall: Allow inbound remote administration exception 
    Allow unsolicited incoming messages from   these IP addresses: 192.168.0.108
    Это последствия заражения вирусом Trojan.Win32.Tdss.wlf ?
    Или пора проверять персонал работавший на зараженном сервере на благонадежность?
    Последний раз редактировалось Igor_; 10.04.2009 в 19:25. Причина: исправление

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ibquje.sys - Trojan.Win32.Tdss.wlf


  • Уважаемый(ая) Igor_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на Rootkit
      От Arkidon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.07.2010, 00:57
    2. ПОДОЗРЕНИЕ НА ROOTKIT
      От cheburat в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 30.06.2010, 16:30
    3. Подозрение на RootKit
      От sshumov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2009, 16:14
    4. Подозрение на rootkit
      От RA85 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.02.2009, 19:09
    5. Подозрение на RootKit
      От Aleksandr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.05.2007, 14:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00344 seconds with 20 queries