Доброго времени суток.
На прокси-сервере win2k стоит кав4.0.5.13 (это не МОЙ выбор, он уже 2 года стоит) со свежими и расширенными базами. Как-то после проверки всплыл кусок Backdoor.Win32.HacDef.b (файл isplogger.sys). Как и ожидалось, файл спокойно удаляется и так же спокойно обнаруживается после перезагрузки. АВЗ обнаружил только скрытые процессы (isplog.exe, UpDate.exe, dmclih.exe). Если кто знает, как эту заразу вылечить - скинте рецептик. Если готового рецепта нет, то через пару дней скину логи. Через пару, т.к. перегружать сервак довольно сложно. И еще один пункт, не понял, как создать нормальный протокол, т.к. после во время проверки АВЗ счастливо закрывается (на пункте 3 при проверке папки WINNT, и похоже что аварийно). Базы, естественно, обновлял.
Последний раз редактировалось MadRat; 11.01.2006 в 15:35.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не нужно перегружать. Сделай то что написано после "Если проблема не исчезла, то:" начиная с пункта 5
тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?
тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?
Угу, короче так, на серваке похоже таки сидит руткит. Удалить его без перегрузки, насколько я понимаю, невозможно.
Нужно сделать следующее:
АВЗ->Параметры поиска->Поставить обе птички "Блокировать работу руткит" после этого вернуться в окно "Область поиска" и ничего не отмечая нажать "Пуск". По окончанию сканирования нужно не закрывая АВЗ
1. Еще раз сделать лог исследованя системы.
2. Пойти в Сервис->диспетчер процессов и прибить там процессы:
C:\WINNT\system32\UpDate.exe
C:\WINNT\system32\isplog.exe
C:\WINNT\system32\dmclih.exe
3. Эти файлы, обязательно при помощи АВЗ, найти и поместить в карантин, после чего выслать нам. Как искать файлы написано в правилах.
Правда, после всего нужно сделать перегрузку. Так что или перегрузка, или жизнь с руткитом.
АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]
после чего, что характерно, в процессах эти файлы не наблюдаются
что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные
АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]
после чего, что характерно, в процессах эти файлы не наблюдаются
что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные
1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.
Да давайте уже отключайте винт или грузитесь с компакта и грохайте файлы вручную. Система скомпрометирована. Чего ждем?
это win2000serv
на нем
1 контроллер домена (второго нет)
2 прокси сервер
3 программный мост на 3 сетевухи
4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
5 все это стоит на зеркале.
6 образ системы есть но двухгодичной давности
7 я работаю тут только второй месяц, заражение произошло еще до меня
8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).
это win2000serv
на нем
1 контроллер домена (второго нет)
2 прокси сервер
3 программный мост на 3 сетевухи
4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
5 все это стоит на зеркале.
6 образ системы есть но двухгодичной давности
7 я работаю тут только второй месяц, заражение произошло еще до меня
8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).
Ну и? Ждешь пока хозяин руткита дистанционно сделает format c: ?
1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.
господа! простите ламера, но я никогда не работал с зеркалами.
скинте ссылочку - как это работает.
т.е. принцип действия я знаю и как поставить новое зеркало тож знаю (хоть и теоретически), но как на него накатить НОВУЮ систему (сверху, без форматирования) или образ системы, если массив еще и разделен на два логических диска.
и как файлы из зеркала добыть? какой загрузочный диск нужен? стандартной дискеты хватит?
лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
господа! простите ламера, но я никогда не работал с зеркалами.
дааа... лечить зеркала на другом компе - это кирдык
а компик что - никогда-никогда не перезагружается? у Вас контора круглосуточно работает?
Сообщение от MadRat
лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
файл пока не пришел - надеюсь, отправляли с паролем?
p.s. а не связана ли возникающая ошибка с работой из-под радмина?
но как на него накатить НОВУЮ систему (сверху, без форматирования)
Винда ставится как обычно. Можно поставить вторую на второй логический диск. Единственное что нужно - драйвер от DAID на дискетке который нужен будет в процессе инсталляции
это win2000serv
на нем ...
5 все это стоит на зеркале.
Это несколько неудобнее, винт посто так не вытащишь, придётся тащить из инета ERD или собирать LiveCD с BartPE.
Если Raid конечно софтовый, а если железный ещё наверное пригодится дискета с его драйверами.
лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
пришел. троян. убивайте его AVZ из списка драйверов, возможно после этого полегчает с убиением процессов экзешников
Уважаемый(ая) MadRat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Geser
