Показано с 1 по 18 из 18.

Backdoor.Win32.Agent.ahqw (заявка № 48172)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32

    Question Backdoor.Win32.Agent.ahqw

    Одноранговая локальная сеть с линейкой Винды от 98.
    Заражены почти все компы начиная от Win 2000.
    Вирусняк КАВ7 определяется как Backdoor.Win32.Agent.ahqw,
    NOD32 и NOD4 - как WIN32/injector.QA
    Симптомы:
    в "C:\Documents and Settings\<имя пользователя>\Local Settings\Temporary Internet Files\Content.IE5\<хэш>\x[1].exe"
    в system32 появляются <nn>.scr (nn = цифры)
    Сетка "забита" широковещательными сообщениями, часто выпадают ошибки "Generic Host Process for Win32 Servicess".
    Антивири с последними базами, AVZ молчит. HijackThis на загрузках ничего критичного не нашел.
    Выловлено тело вируса, есть в запароленном архиве.
    Описание вируса не нашел, есть подозрение на внедрение своей библиотеки в svchost или в services.
    В диспетчере лишних процессов нет, службы в порядке, подозрительных драйверов в скрытых устройствах не обнаружено.
    Какие логи мне выложить?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Те, которые указаны в правилах.

    похоже, что распространяется оно через уязвимости.
    Т.е. для лечения надо отключать машины от сети, а подключать только тогда, когда все будут пролечены...
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    Скачаны
    KAV Removal Tool
    avz4
    HiJackThis
    Отключил восстановление
    KAV проверил систему при физическом отключении от сети в Safe Mode – нет вирусов
    Прогнал avz4 скрипт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
    Прогнал "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"

    **логи удалил
    Последний раз редактировалось grass_snake2; 18.06.2009 в 15:41.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Логи в Safe Mode не пойдут. Переделать в нормальном режиме, предварительно отключить/выгрузить все защитные аппликации, запустить ИЕ.

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    Поправил.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\SophosMEMSWEEP.SYS','');
    end.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SophosMEMSWEEP.SYS)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\SophosMEMSWEEP.SYS)
    Карантин с использованием прямого чтения - ошибка

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Плиз, найдите файл, скопируйте его на рабочий стол, переименуйте в
    Код:
    SophosMEMSWEEP.SYS_
    запакуйте в ZIP-архив с паролем virus и закачайте тут по правилам. Имя архива - только цифры или латинские буквы.

  10. #9
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    Поиск в FAR по диску C: файл не найден

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

  12. #11
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    В процессе проверки скриптом NOD ругался на avz-овские tmp. В 2-х случаях - на RAdmin, третий раз - на Win32/HackTool.Patcher.A
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от grass_snake2 Посмотреть сообщение
    В процессе проверки скриптом NOD ругался на avz-овские tmp.
    Антивирус отключать надо - в правилах же написано. И АВГ Антируткит тоже. И Файрвол, если есть.
    Вы от Sophos что-нибудь ставили? Или в АВГ Антирукит есть компонента от Sophos?

  14. #13
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    Отключил файрвол и NOD, антируткиты снес.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Но очень хочется на файлик взглянуть.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('MEMSWEEP2');
     QuarantineFile('C:\WINDOWS\system32\SophosMEMSWEEP.SYS','');
     DeleteFile('C:\WINDOWS\system32\SophosMEMSWEEP.SYS');
     DeleteService('MEMSWEEP2');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('MEMSWEEP2');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закачайте карантин - если что поадет - по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите логи.

  16. #15
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    Карантин выслал, при попытке отключить AMON НОДа система виснет вглухую..

    Отключил НОД как сервис, вот логи.
    Вложения Вложения
    Последний раз редактировалось grass_snake2; 18.06.2009 в 14:57.

  17. #16

  18. #17
    Junior Member Репутация
    Регистрация
    18.06.2009
    Адрес
    SPb
    Сообщений
    9
    Вес репутации
    32
    Сделал скан всех дисков

    Лаборатория Касперского в ответ на запрос обнародовать описание действия вируса выслала рекомендацию "обновить базы - вирус известен".. Известен-то известен, только с последними базами он как раз и "цапанулся"

    Проведен опыт с офф-лайн лечением машины. Вирус был удален и за 3 часа активности не проявлял. При подключении в сетку - опять подцепился. Файрвол не спасает - вирус его автоматом переводит в "обучающийся режим" и разрешает себе проход.
    Вылавливаются ошибки от svchost с руганью, что "память не может быть read" и ошибки services. На сайт Касперского не пускает (в hosts - только 127.0.0.1).

    Так понимаю, что предложений по лечению нет Гугл по названию вируса начал выдавать какие-то ссылки (что уже радует), может повезет на англоязычных форумах.
    Вложения Вложения
    • Тип файла: log Gmer.log (74.7 Кб, 7 просмотров)
    Последний раз редактировалось grass_snake2; 22.06.2009 в 16:08.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) grass_snake2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
      От alexm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.09.2010, 23:01
    2. Backdoor.Win32.Agent.ajcb, Net-Worm.Win32.Kido.jq и чтото еще
      От C0NSUL в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 24.08.2009, 09:43
    3. Backdoor.Win32.Agent.uu
      От Katalizator в разделе Помогите!
      Ответов: 38
      Последнее сообщение: 22.02.2009, 01:41
    4. Backdoor.Win32.Agent.aiv
      От Smertb в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.12.2008, 00:14
    5. backdoor.Win32.agent.anf
      От Ramzi в разделе Malware Removal Service
      Ответов: 3
      Последнее сообщение: 28.02.2008, 16:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01465 seconds with 17 queries