Трояны в атаке [LOG?]

15 июля, 2009

Доброго времени суток. Попросили посмотреть на комп знакомого. Зделав логи я был чесно немного сконфужен, поэтому прошу посмотреть логи Вас.

virusinfo_syscheck.zip

hijackthis.log

15 июля, 2009

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\DOCUME~1\toor\LOCALS~1\Temp\aujasnkj.sys','');
DeleteFile('C:\DOCUME~1\toor\LOCALS~1\Temp\aujasnkj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

Почему нет лога после стандартного скрипта 3?

Включите в АВЗ AVZPM и повторите логи.

15 июля, 2009

Хорошый вопрос Обьясняю почему, на этом компьютере почемуто очень долго делается сканирование хтмл файлов, а так как там стоит не один продукт от Adobe то их гдето примерно 80 000 штук. Сканирование занимает часа 2-3. Вот собственно поэтому и нет. Хотя к вечеру могу зделать.

Да меня очень удиливо очень большое количество открытыт мейл-портов ну и не увидел этих файлов. Драйвер бота прибил собственными руками, кстати почему Бут Клинер не смог зделать карантин ?

Да вот еще АВЗ ПМ у меня уже давно включен.

Сообщение от модератора User

Убрано лишнее цитирование

boot_clr.log

Изменено 16 июля, 2009 пользователем User

15 июля, 2009

Я точных кодов ошибок не знаю, но похоже, что файла с таким именем на тот момент уже не было.

15 июля, 2009

аха, ясненько. Вот еще, меня еще очень удивляет то что очень много системных файлов АВЗ видит как недоверенные. Впервые такое вижу, аж глаза розбегаются. И почемуто GetSystemInfo не может зделать отчет. Сразу какбы останавливается на получении общей информации.

15 июля, 2009

Похоже некоторые файлы патченные, поэтому нескольяко я и хочу, что бы вы отправили аналитикам ЛК, ну и мне копию

15 июля, 2009

мыло отправил. Жду ответа.... Ушел качать ComboFix

... прикрепляю лог проверки ExecuteStdScr(3);

virusinfo_syscure.zip

16 июля, 2009

Ушел качать ComboFix

Если файл патченные ComboFix не сможет помочь.

16 июля, 2009

C:\WINDOWS\system32\Drivers\NDIS.sys - Rootkit.Win32.Agent.hzh

Сравните размер файлов C:\WINDOWS\system32\Drivers\NDIS.sys и C:\WINDOWS\system32\dllcache\NDIS.sys. Если отличаются, тогда с консоли восстановления (или загрузившись с LiveCD) можно файл заменить

В противном случае понадобится диск, с которого ставилась система на этом компьютере, или искать этот файл на другом компьютере, система на котором ставилась с такого диска

Mozilla Thunderbird используется?

Если нет, тогда выполните следующее

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program Files\ThunMail\testabd.exe','');
DeleteFile('c:\program Files\ThunMail\testabd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Изменено 16 июля, 2009 пользователем thyrex

16 июля, 2009

Спасибо! Кстати у меня было подозрение на NDIS. Я даже на вирустотал хотел его отправить но почему то не получилось. Наверное сработала система защиты руткита.

Да вот еще выполнял такой скрипт:

begin
SearchRootkit(true,true);
TerminateProcessByName('c:\windows\system32\logon.scr');
QuarantineFile('c:\windows\system32\logon.scr','');
DeleteFile('c:\windows\system32\logon.scr');
QuarantineFile('C:\Documents and Settings\toor\reader_s.exe','');
DeleteFile('C:\Documents and Settings\toor\reader_s.exe');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
DeleteFile('C:\WINDOWS\system32\codeblocks.exe');
QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe','');
DeleteFile('C:\WINDOWS\system32\deviceemulator.exe');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
DeleteFile('C:\WINDOWS\system32\makehm.exe');
QuarantineFile('C:\WINDOWS\system32\windres.exe','');
DeleteFile('C:\WINDOWS\system32\windres.exe');
QuarantineFile('C:\WINDOWS\system32\undname.exe','');
DeleteFile('C:\WINDOWS\system32\undname.exe');
QuarantineFile('C:\WINDOWS\system32\vmware-ufad.exe','');
DeleteFile('C:\WINDOWS\system32\vmware-ufad.exe');
QuarantineFile('c:\progra~1\ThunMail\testabd.dll','');
DeleteFIle('c:\progra~1\ThunMail\testabd.dll');
QuarantineFile('C:\Windows\System32\1B.dll','');
DeleteFile('C:\Windows\system32\1B.dll');
BC_ImportAll;
BC_LogFile(GetAvzDirectory + 'bc_log.log');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Щас пойду ловить руткита

16 июля, 2009

Выполняйте.

Только не совсем понятно, где Вы взяли такой скрипт и зачем его выполняли.

Так можно убить легко систему

16 июля, 2009

нет, это я учусь Архив с копиями ndis.sys отправил в вирлаб и на мыло для анализа.

Изменено 16 июля, 2009 пользователем DaTa

22 июля, 2009

Так вот получилось мне таки вытянуть коечто. ПРикрепляю лог ComboFix, и последнее исследование системы при помощи АВЗяки.

По поводу найденого в логе:

\Device\HarddiskVolume1\DOCUME~1\toor\LOCALS~1\temp\RarSFX1\xtd73.exe - остаток доктор веба(CureIT).

C:\DOCUME~1\toor\LOCALS~1\Temp\Ei7w7w8L.sys - предположительно один из драйверов ComboFix'а так как я его еще не удалил.

Лог делал при включеных AVZGuard & AVZProcessMan.

Хочу отметить что значительная часть открытых портов на внешние айпи и на 25(мыло) порт была устранена в ходе удаления botdrv(%systemroot%\system32\driver.sys), а также после работы ComboFix.

Нус, что скажимс ?

log.txt

virusinfo_syscure.zip

22 июля, 2009

2009-03-05 14:03 213120 F98D9547BC0E25B7DAFB64591B08E4E9 c:\windows\system32\dllcache\ndis.sys

2009-03-05 14:03 213120 F98D9547BC0E25B7DAFB64591B08E4E9 c:\windows\system32\drivers\ndis.sys

Оба файла изменены вредоносом. Нужно заменить заведемо чистым из дистрибутива.

Изменено 22 июля, 2009 пользователем akoK

22 июля, 2009

хм странно, я отправлял оба файла в вирлаб, отписали что вирусный код не обнаружен. Или вы имеете в ввиду что даже если в них нету вредоносного кода но руткит их как то изменил в свою сторону?

Пожалуйста опишыте подробнее даное действие вредоносного ПО!

Трояны в атаке [LOG?]

Рекомендуемые сообщения

DaTa

Ссылка на комментарий

Поделиться на другие сайты

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

DaTa

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

DaTa

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

DaTa

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

DaTa

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

DaTa

Ссылка на комментарий

Поделиться на другие сайты

DaTa

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

DaTa

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum