Tomsk Sysadmins Forum
Windows => Администрирование => Topic started by: Слава on January 05, 2009, 09:09:22
-
Здравствуйте!
Ко мне в компьютер поселился некий неопознанный вирус. Именитые антивирусники его не находят (Касперский, др. Веб, Нод, Ромовит и д.р.).
Проявляется в том, что подсаживается в адресное пространство svchost, устанавливает соединение с каким-то адресом (видимо, с заражённой машиной) и начинает сканировать сеть через 445 порт. Сканирует сначала локалку, потом по случайным адресам. Процес, к которому цепляется, виден - у него увеличивается число thread-ов и начинает идти нагрузка на проц, от него идут запросы на кучу соеднений.
Порты и соединение я ему закрыл через политики, но как определить, в какой момент я его подцепляю, что-б убить и как он появился, что-бы закрыть ему дорогу?
Операционка: Server 2003 sp2
-
avz пробовали?
-
avz пробовали?
Да. В лицо он его тоже не знает, хотя показал адреса и номера процессов, которые были подменены.
Но что делать с этой информацией, я не пойму. Процесс я вижу, он маскируется под svchost или прицепляется к нему. Стираю - пропадает звук! После загрузки процесс появляется вновь.
Есть такая утилита - filemon, которая выдает список файлов, к которым было обращение. Если я ее сую в автозагрузку, то уже поздно - процесс к этому времени запущен. Вот как бы ее запустить одной из самых первых после старта системы? Глядишь, она и отследила бы диспозицию гада.
-
Проверку проводили в safe mode?
-
может провести сеанс лечения sfc ?
-
может провести сеанс лечения sfc ?
Что это? Я про это ничего не слышал, поискал на x-soft - нету.
-
может провести сеанс лечения sfc ?
Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.
-
попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?
-
попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?
Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом. Именно в этом файле его нету, подсаживается позже. Да и сам файл занимает около 14 кб а обеспечивает больше десяти разных сервисов . Покоже, он просто подгружает через себя другие dll, вот и подгрузил где-то не то!
-
В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник. Может что подозрительного увидите. Посмотрите на чистом компе и зараженном - сравните.
-
В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник.
на знал про такое. в какой версии ТоталКомандера у вас это работает? что там в качестве просмотрщика?
В стандартной (всегда её использую) v7.0 подобной вкладки в листере не видел. Нашёл только возможность через меню подключать плагины. Но в стандартной поставке никаких *.wls нет.
-
К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.
-
Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.
я бы попробовал с ключиком и дистрибутивом на диске (сначала сделав бэкап).
sfc /purgecache
[!--quoteo(post=0:date=:name=Слава)--][div class=\'quotetop\']Цитата(Слава)[div class=\'quotemain\'][!--quotec--]Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом.[/quote]
из какого дистрибутива? из папки где стоит винда, или именно из дистрибутива на CD-диске?
-
Ура, всем спасибо!
Эпопея закончилась. Новый CureIt от 7.01 уже увидел и удалил вирус. Кстати, изначально он, похоже, находился в jpg! файле!
-
а название вируса можете вспомнить?
-
а название вируса можете вспомнить?
У меня вчера случилась похожая эпопея (вылечился установкой др.веба с обновлением его баз по ftp-протоколу, потому что эта зараза не пускала по http ни один из антивирусов )
вот как зовут врага (точнее врагов):
1.0) c:\windows\system32\nhjcxkz.dll инфицирован Win32.HLLW.Autoruner.5555
1.1) >>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN2.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3EN2.LEX_1031\9474a7e3txt>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3AM.LEX_1031\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEA.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEP.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEA.LEX\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEP.LEX\9474a7e3txtC:\System Volume Information\_restore{06E74D76-A2DA-4132-9261-D1AEA176DFCE}\RP7\A0000467.dll инфицирован Win32.HLLW.Autoruner.5555
2.0) C:\WINDOWS\OPTIONS\CABS\_desktop.ini инфицирован Win32.HLLW.Gavir.ini
-
К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.
У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.
-
У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.
Речь была немного не о процессах, а о исполняемых файлах. Т.е. нужно было посмотреть какие dll юзает приложение не запуская его. Во как
-
Ну любая девелоперская тулза, хоть даже борландячий tdump.exe - только они все покажут требуемые при старте, если файл упакован UPX и/или грузит через LoadLibrary(), толку мало.
-
Вот про оного: http://hitech.tomsk.ru/newsinternet/11200-...-ispolzuet.html (http://hitech.tomsk.ru/newsinternet/11200-setevojj-cherv-win32.hllw.shadow.based-ispolzuet.html)
-
Кто что скажет о Conficker.AB (и иже с ним)? Какими способами кто избавлялся от этой заразы?
-
Кто что скажет о Conficker.AB (и иже с ним)? Какими способами кто избавлялся от этой заразы?
Мне такой зверь не попадался...
-
Пара слов о нем:
Новый сетевой червь – Conficker
20.01.2009
Компания Trend Micro предупреждает о появлении нового червя, который распространяется со скоростью света. Вредоносная программа Conficker (или Downadup) была обнаружена еще в ноябре, однако пик ее распространения пришелся на начало января. На 19 января червем Conficker было поражено около 9 млн компьютеров по всему миру. Червь самораспространяется, используя уязвимости ПО Microsoft. Он проникает в ОС Windows и, попав на компьютер жертвы, открывает злоумышленникам полный доступ к машине. Заражение также может происходить через USB-устройства — к примеру, флэш-брелоки или МР3-плееры.
Conficker — это червь традиционной архитектуры, который подчиняется указаниям из управляющего центра, что и определяет его деятельность на компьютерах жертв. Специалисты Trend Micro опасаются, что это может быть первым шагом в создании внушительного ботнета.
Симптомы заражения Conficker таковы:
* заблокирован доступ к сайтам с антивирусами;
* недоступны такие службы, как Windows Automatic Update Service (wauserv);
* высокий трафик через порт 445 в случае успешного заражения;
* присутствие [случайное имя файла].dll и autorun.inf на всех подключенных сетевых дисках;
* наличие [случайное имя файла].dll и autorun.inf в подпапках Internet Explorer и Movie Maker папки Program Files;
* спрятанная опция скрытых файлов в свойствах папки;
* червь пытается подключиться к некоторым URL, чтобы загрузить файл, что позволяет злоумышленникам определить местонахождение пораженной системы;
* пользователи не могут войти в систему со своими реквизитами доступа, так как они заблокированы.
Помимо использования последних обновлений продуктов для безопасности, компания Trend Micro рекомендует обязательно установить обновление Microsoft Patch 08-67 на ВСЕ системы, которые были выпущены в октябре прошлого года, что значительно снизит вероятность заражения системы.
Источник: http://www.bytemag.ru/articles/detail.php?ID=13693 (http://www.bytemag.ru/articles/detail.php?ID=13693)
-
Кто из наших антивирей знает его "в лицо" ??? Кто вылавливал и чем? Лечится ли ?
-
Знают в лицо многие, но говорят, что только AVP отражает атаку)) NOD32 находит, но ничего поделать не может.
Еще кое что о нем: http://bishop3000.livejournal.com/105424.html (http://bishop3000.livejournal.com/105424.html)
Здесь лечилка: http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml (http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml)
Кто затестит - отпишитесь
-
Скачал лечилку "f-downadup", сейчас буду сканировать свой комп... (хотя я его лечил вебовским "cureit" , который теперь говорит, что всё ок)
ПРОСКАНИРОВАЛ - всё чисто! (жаль )
-
Курит не поможет, так же как и АВП-шный клинер) Видит только автораны, но ничего поделать не может с ними, .vmx-ы по-моему вообще не находит в рецусле...
-
Курит не поможет, так же как и АВП-шный клинер) Видит только автораны, но ничего поделать не может с ними, .vmx-ы по-моему вообще не находит в рецусле...
Итак, Ваш рецепт ???
-
http://www.trendmicro.com/vinfo/emea/virus...EA&VSect=Sn (http://www.trendmicro.com/vinfo/emea/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EA&VSect=Sn)
Солюшн от trendmicro.com
-
проверяю
-
http://www.trendmicro.com/vinfo/emea/virus...EA&VSect=Sn (http://www.trendmicro.com/vinfo/emea/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EA&VSect=Sn)
Солюшн от trendmicro.com
провёл онлайн сканирование (работает на java) своей машины - чисто (снова не везёт а так хотелось увидеть в лицо этого врага). Полагаю, что cureit на пару (а точнее по очереди) с removeit , справились с заразой. Правда пара файлов винды (а может быть и больше) , стали покоцаны. В shell.dll теперь нет рисунка для ярлыка "мой компьютер" ))) Как отреставрировать ? Кто подскажет (а может быть попытаться подсунуть файло с другой машины?
sfc [/scannow] - не помогает.