Author Topic: Как уничтожить врага? (Read 14387 times)

Слава · « **on:** January 05, 2009, 09:09:22 »

Здравствуйте!

Ко мне в компьютер поселился некий неопознанный вирус. Именитые антивирусники его не находят (Касперский, др. Веб, Нод, Ромовит и д.р.).

Проявляется в том, что подсаживается в адресное пространство svchost, устанавливает соединение с каким-то адресом (видимо, с заражённой машиной) и начинает сканировать сеть через 445 порт. Сканирует сначала локалку, потом по случайным адресам. Процес, к которому цепляется, виден - у него увеличивается число thread-ов и начинает идти нагрузка на проц, от него идут запросы на кучу соеднений.

Порты и соединение я ему закрыл через политики, но как определить, в какой момент я его подцепляю, что-б убить и как он появился, что-бы закрыть ему дорогу?

Операционка: Server 2003 sp2

fredina · « **Reply #1 on:** January 05, 2009, 12:56:30 »

avz пробовали?

Слава · « **Reply #2 on:** January 06, 2009, 10:05:32 »

Quote from: fredina

avz пробовали?

Да. В лицо он его тоже не знает, хотя показал адреса и номера процессов, которые были подменены.
Но что делать с этой информацией, я не пойму. Процесс я вижу, он маскируется под svchost или прицепляется к нему. Стираю - пропадает звук! После загрузки процесс появляется вновь.

Есть такая утилита - filemon, которая выдает список файлов, к которым было обращение. Если я ее сую в автозагрузку, то уже поздно - процесс к этому времени запущен. Вот как бы ее запустить одной из самых первых после старта системы? Глядишь, она и отследила бы диспозицию гада.

Unit · « **Reply #3 on:** January 06, 2009, 19:26:32 »

Проверку проводили в safe mode?

fredina · « **Reply #4 on:** January 06, 2009, 23:47:57 »

может провести сеанс лечения sfc ?

Слава · « **Reply #5 on:** January 07, 2009, 08:24:39 »

Quote from: fredina

может провести сеанс лечения sfc ?

Что это? Я про это ничего не слышал, поискал на x-soft - нету.

Unit · « **Reply #6 on:** January 07, 2009, 11:49:11 »

Quote from: fredina

может провести сеанс лечения sfc ?

Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.

Diver · « **Reply #7 on:** January 07, 2009, 15:49:22 »

попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?

Слава · « **Reply #8 on:** January 08, 2009, 09:43:47 »

Quote from: Diver

попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?

Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом. Именно в этом файле его нету, подсаживается позже. Да и сам файл занимает около 14 кб а обеспечивает больше десяти разных сервисов . Покоже, он просто подгружает через себя другие dll, вот и подгрузил где-то не то!

Diver · « **Reply #9 on:** January 08, 2009, 21:22:48 »

В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник. Может что подозрительного увидите. Посмотрите на чистом компе и зараженном - сравните.

fredina · « **Reply #10 on:** January 09, 2009, 00:39:29 »

Quote from: Diver

В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник.

на знал про такое. в какой версии ТоталКомандера у вас это работает? что там в качестве просмотрщика?
В стандартной (всегда её использую) v7.0 подобной вкладки в листере не видел. Нашёл только возможность через меню подключать плагины. Но в стандартной поставке никаких *.wls нет.

Diver · « **Reply #11 on:** January 09, 2009, 12:29:25 »

К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.

fredina · « **Reply #12 on:** January 09, 2009, 13:51:11 »

Quote from: Unit

Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.

я бы попробовал с ключиком и дистрибутивом на диске (сначала сделав бэкап).
sfc /purgecache

[!--quoteo(post=0:date=:name=Слава)--][div class=\'quotetop\']Цитата(Слава)[div class=\'quotemain\'][!--quotec--]Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом.[/quote]
из какого дистрибутива? из папки где стоит винда, или именно из дистрибутива на CD-диске?

Слава · « **Reply #13 on:** January 09, 2009, 19:59:51 »

Ура, всем спасибо!

Эпопея закончилась. Новый CureIt от 7.01 уже увидел и удалил вирус. Кстати, изначально он, похоже, находился в jpg! файле!

Diver · « **Reply #14 on:** January 10, 2009, 13:50:06 »

а название вируса можете вспомнить?

Виталий · « **Reply #15 on:** January 12, 2009, 00:41:35 »

Quote from: Diver

а название вируса можете вспомнить?

У меня вчера случилась похожая эпопея (вылечился установкой др.веба с обновлением его баз по ftp-протоколу, потому что эта зараза не пускала по http ни один из антивирусов )
вот как зовут врага (точнее врагов):

1.0) c:\windows\system32\nhjcxkz.dll инфицирован Win32.HLLW.Autoruner.5555
1.1) >>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN2.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3EN2.LEX_1031\9474a7e3txt>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3AM.LEX_1031\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEA.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEP.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEA.LEX\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEP.LEX\9474a7e3txtC:\System Volume Information\_restore{06E74D76-A2DA-4132-9261-D1AEA176DFCE}\RP7\A0000467.dll инфицирован Win32.HLLW.Autoruner.5555
2.0) C:\WINDOWS\OPTIONS\CABS\_desktop.ini инфицирован Win32.HLLW.Gavir.ini

nuclight · « **Reply #16 on:** January 14, 2009, 15:11:57 »

Quote from: Diver

К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.

У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.

Diver · « **Reply #17 on:** January 14, 2009, 16:16:43 »

Quote from: nuclight

У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.

Речь была немного не о процессах, а о исполняемых файлах. Т.е. нужно было посмотреть какие dll юзает приложение не запуская его. Во как

nuclight · « **Reply #18 on:** January 15, 2009, 14:18:01 »

Ну любая девелоперская тулза, хоть даже борландячий tdump.exe - только они все покажут требуемые при старте, если файл упакован UPX и/или грузит через LoadLibrary(), толку мало.

Слава · « **Reply #19 on:** January 18, 2009, 09:15:15 »

Вот про оного: http://hitech.tomsk.ru/newsinternet/11200-...-ispolzuet.html

News:

Author Topic: Как уничтожить врага? (Read 14387 times)