Author Topic: Как уничтожить врага?  (Read 14354 times)

0 Members and 1 Guest are viewing this topic.

Offline Слава

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +0/-0
Как уничтожить врага?
« on: January 05, 2009, 09:09:22 »
Здравствуйте!

Ко мне в компьютер поселился некий неопознанный вирус. Именитые антивирусники его не находят (Касперский, др. Веб, Нод, Ромовит и д.р.).

 Проявляется в том, что подсаживается в адресное пространство svchost, устанавливает соединение с каким-то адресом (видимо, с заражённой машиной) и начинает сканировать сеть через 445 порт. Сканирует сначала локалку, потом по случайным адресам. Процес, к которому цепляется, виден - у него увеличивается число thread-ов и начинает идти нагрузка на проц, от него идут запросы на кучу соеднений.

Порты и соединение я ему закрыл через политики, но как определить, в какой момент я его подцепляю, что-б убить и как он появился, что-бы закрыть ему дорогу?

Операционка: Server 2003 sp2

Offline fredina

  • Sr. Member
  • ****
  • Posts: 367
  • Karma: +0/-0
Как уничтожить врага?
« Reply #1 on: January 05, 2009, 12:56:30 »
avz пробовали?

Offline Слава

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +0/-0
Как уничтожить врага?
« Reply #2 on: January 06, 2009, 10:05:32 »
Quote from: fredina
avz пробовали?
Да. В лицо он его тоже не знает, хотя показал адреса и номера процессов, которые были подменены.
Но что делать с этой информацией, я не пойму. Процесс я вижу, он маскируется под svchost или прицепляется к нему. Стираю - пропадает звук! После загрузки процесс появляется вновь.

Есть такая утилита - filemon, которая выдает список файлов, к которым было обращение. Если я ее сую в автозагрузку, то уже поздно - процесс к этому времени запущен. Вот как бы ее запустить одной из самых первых после старта системы?  Глядишь, она и отследила бы диспозицию гада.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Как уничтожить врага?
« Reply #3 on: January 06, 2009, 19:26:32 »
Проверку проводили в safe mode?

Offline fredina

  • Sr. Member
  • ****
  • Posts: 367
  • Karma: +0/-0
Как уничтожить врага?
« Reply #4 on: January 06, 2009, 23:47:57 »
может провести сеанс лечения sfc ?

Offline Слава

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +0/-0
Как уничтожить врага?
« Reply #5 on: January 07, 2009, 08:24:39 »
Quote from: fredina
может провести сеанс лечения sfc ?
Что это? Я про это ничего не слышал, поискал на x-soft - нету.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Как уничтожить врага?
« Reply #6 on: January 07, 2009, 11:49:11 »
Quote from: fredina
может провести сеанс лечения sfc ?
Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.

Offline Diver

  • Hero Member
  • *****
  • Posts: 790
  • Karma: +2/-0
Как уничтожить врага?
« Reply #7 on: January 07, 2009, 15:49:22 »
попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?
MCP

Offline Слава

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +0/-0
Как уничтожить врага?
« Reply #8 on: January 08, 2009, 09:43:47 »
Quote from: Diver
попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?
Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом. Именно в этом файле его нету, подсаживается позже. Да и сам файл занимает около 14 кб а обеспечивает больше десяти разных сервисов . Покоже, он просто подгружает через себя другие dll, вот и подгрузил где-то не то!

Offline Diver

  • Hero Member
  • *****
  • Posts: 790
  • Karma: +2/-0
Как уничтожить врага?
« Reply #9 on: January 08, 2009, 21:22:48 »
В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник. Может что подозрительного увидите. Посмотрите на чистом компе и зараженном - сравните.
MCP

Offline fredina

  • Sr. Member
  • ****
  • Posts: 367
  • Karma: +0/-0
Как уничтожить врага?
« Reply #10 on: January 09, 2009, 00:39:29 »
Quote from: Diver
В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник.
на знал про такое. в какой версии ТоталКомандера у вас это работает? что там в качестве просмотрщика?
В стандартной (всегда её использую) v7.0 подобной вкладки в листере не видел. Нашёл только возможность через меню подключать плагины. Но в стандартной поставке никаких *.wls нет.
« Last Edit: January 09, 2009, 13:15:03 by fredina »

Offline Diver

  • Hero Member
  • *****
  • Posts: 790
  • Karma: +2/-0
Как уничтожить врага?
« Reply #11 on: January 09, 2009, 12:29:25 »
К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.
MCP

Offline fredina

  • Sr. Member
  • ****
  • Posts: 367
  • Karma: +0/-0
Как уничтожить врага?
« Reply #12 on: January 09, 2009, 13:51:11 »
Quote from: Unit
Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.
я бы попробовал с ключиком и дистрибутивом на диске (сначала сделав бэкап).
sfc /purgecache

[!--quoteo(post=0:date=:name=Слава)--][div class=\'quotetop\']Цитата(Слава)[div class=\'quotemain\'][!--quotec--]Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом.[/quote]
из какого дистрибутива? из папки где стоит винда, или именно из дистрибутива на CD-диске?
« Last Edit: January 09, 2009, 13:54:11 by fredina »

Offline Слава

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +0/-0
Как уничтожить врага?
« Reply #13 on: January 09, 2009, 19:59:51 »
Ура, всем спасибо!

Эпопея закончилась. Новый CureIt от 7.01 уже увидел и удалил вирус. Кстати, изначально он, похоже, находился в jpg! файле!


Offline Diver

  • Hero Member
  • *****
  • Posts: 790
  • Karma: +2/-0
Как уничтожить врага?
« Reply #14 on: January 10, 2009, 13:50:06 »
а название вируса можете вспомнить?
MCP

Offline Виталий

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
Как уничтожить врага?
« Reply #15 on: January 12, 2009, 00:41:35 »
Quote from: Diver
а название вируса можете вспомнить?
У меня вчера случилась похожая эпопея (вылечился установкой др.веба с обновлением его баз по ftp-протоколу, потому что эта зараза не пускала по http ни один из антивирусов  )
вот как зовут врага (точнее врагов):

1.0)  c:\windows\system32\nhjcxkz.dll инфицирован Win32.HLLW.Autoruner.5555
1.1)  >>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN2.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3EN2.LEX_1031\9474a7e3txt>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3AM.LEX_1031\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEA.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEP.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEA.LEX\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEP.LEX\9474a7e3txtC:\System Volume Information\_restore{06E74D76-A2DA-4132-9261-D1AEA176DFCE}\RP7\A0000467.dll инфицирован Win32.HLLW.Autoruner.5555
2.0)  C:\WINDOWS\OPTIONS\CABS\_desktop.ini инфицирован Win32.HLLW.Gavir.ini
« Last Edit: January 12, 2009, 00:52:12 by Виталий »

Offline nuclight

  • Full Member
  • ***
  • Posts: 207
  • Karma: +1/-2
    • http://antigreen.org
Как уничтожить врага?
« Reply #16 on: January 14, 2009, 15:11:57 »
Quote from: Diver
К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.

У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.
WBR, Nuclear Lightning
[FreeBSD][Давить зелёных]

Offline Diver

  • Hero Member
  • *****
  • Posts: 790
  • Karma: +2/-0
Как уничтожить врага?
« Reply #17 on: January 14, 2009, 16:16:43 »
Quote from: nuclight
У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.
Речь была немного не о процессах, а о исполняемых файлах. Т.е. нужно было посмотреть какие dll юзает приложение не запуская его. Во как
« Last Edit: January 14, 2009, 16:17:18 by Diver »
MCP

Offline nuclight

  • Full Member
  • ***
  • Posts: 207
  • Karma: +1/-2
    • http://antigreen.org
Как уничтожить врага?
« Reply #18 on: January 15, 2009, 14:18:01 »
Ну любая девелоперская тулза, хоть даже борландячий tdump.exe - только они все покажут требуемые при старте, если файл упакован UPX и/или грузит через LoadLibrary(), толку мало.
WBR, Nuclear Lightning
[FreeBSD][Давить зелёных]

Offline Слава

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +0/-0
Как уничтожить врага?
« Reply #19 on: January 18, 2009, 09:15:15 »