Трояны в атаке [LOG?]

[DaTa]

Доброго времени суток. Попросили посмотреть на комп знакомого. Зделав логи я был чесно немного сконфужен, поэтому прошу посмотреть логи Вас.

virusinfo_syscheck.zip

hijackthis.log

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\DOCUME~1\toor\LOCALS~1\Temp\aujasnkj.sys','');
DeleteFile('C:\DOCUME~1\toor\LOCALS~1\Temp\aujasnkj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

Почему нет лога после стандартного скрипта 3?

 

Включите в АВЗ AVZPM и повторите логи.

[DaTa]

Хорошый вопрос Обьясняю почему, на этом компьютере почемуто очень долго делается сканирование хтмл файлов, а так как там стоит не один продукт от Adobe то их гдето примерно 80 000 штук. Сканирование занимает часа 2-3. Вот собственно поэтому и нет. Хотя к вечеру могу зделать.

Да меня очень удиливо очень большое количество открытыт мейл-портов ну и не увидел этих файлов. Драйвер бота прибил собственными руками, кстати почему Бут Клинер не смог зделать карантин ?

 

Да вот еще АВЗ ПМ у меня уже давно включен.

 

Сообщение от модератора User

Убрано лишнее цитирование

boot_clr.log

Изменено 16 июля, 2009 пользователем User

[ТроПа]

Я точных кодов ошибок не знаю, но похоже, что файла с таким именем на тот момент уже не было.

[DaTa]

аха, ясненько. Вот еще, меня еще очень удивляет то что очень много системных файлов АВЗ видит как недоверенные. Впервые такое вижу, аж глаза розбегаются. И почемуто GetSystemInfo не может зделать отчет. Сразу какбы останавливается на получении общей информации.

[ТроПа]

Похоже некоторые файлы патченные, поэтому нескольяко я и хочу, что бы вы отправили аналитикам ЛК, ну и мне копию

[DaTa]

мыло отправил. Жду ответа.... Ушел качать ComboFix

 

... прикрепляю лог проверки ExecuteStdScr(3);

virusinfo_syscure.zip

[akoK]

Ушел качать ComboFix

Если файл патченные ComboFix не сможет помочь.

[thyrex]

C:\WINDOWS\system32\Drivers\NDIS.sys - Rootkit.Win32.Agent.hzh

Сравните размер файлов C:\WINDOWS\system32\Drivers\NDIS.sys и C:\WINDOWS\system32\dllcache\NDIS.sys. Если отличаются, тогда с консоли восстановления (или загрузившись с LiveCD) можно файл заменить

В противном случае понадобится диск, с которого ставилась система на этом компьютере, или искать этот файл на другом компьютере, система на котором ставилась с такого диска

 

Mozilla Thunderbird используется?

Если нет, тогда выполните следующее

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program Files\ThunMail\testabd.exe','');
DeleteFile('c:\program Files\ThunMail\testabd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Изменено 16 июля, 2009 пользователем thyrex

[DaTa]

Спасибо! Кстати у меня было подозрение на NDIS. Я даже на вирустотал хотел его отправить но почему то не получилось. Наверное сработала система защиты руткита.

 

Да вот еще выполнял такой скрипт:

begin
SearchRootkit(true,true);
TerminateProcessByName('c:\windows\system32\logon.scr');
QuarantineFile('c:\windows\system32\logon.scr','');
DeleteFile('c:\windows\system32\logon.scr');
QuarantineFile('C:\Documents and Settings\toor\reader_s.exe','');
DeleteFile('C:\Documents and Settings\toor\reader_s.exe');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
DeleteFile('C:\WINDOWS\system32\codeblocks.exe');
QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe','');
DeleteFile('C:\WINDOWS\system32\deviceemulator.exe');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
DeleteFile('C:\WINDOWS\system32\makehm.exe');
QuarantineFile('C:\WINDOWS\system32\windres.exe','');
DeleteFile('C:\WINDOWS\system32\windres.exe');
QuarantineFile('C:\WINDOWS\system32\undname.exe','');
DeleteFile('C:\WINDOWS\system32\undname.exe');
QuarantineFile('C:\WINDOWS\system32\vmware-ufad.exe','');
DeleteFile('C:\WINDOWS\system32\vmware-ufad.exe');
QuarantineFile('c:\progra~1\ThunMail\testabd.dll','');
DeleteFIle('c:\progra~1\ThunMail\testabd.dll');
QuarantineFile('C:\Windows\System32\1B.dll','');
DeleteFile('C:\Windows\system32\1B.dll');
BC_ImportAll;
BC_LogFile(GetAvzDirectory + 'bc_log.log');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Щас пойду ловить руткита

[thyrex]

Выполняйте.

 

Только не совсем понятно, где Вы взяли такой скрипт и зачем его выполняли.

Так можно убить легко систему

[DaTa]

нет, это я учусь Архив с копиями ndis.sys отправил в вирлаб и на мыло для анализа.

Изменено 16 июля, 2009 пользователем DaTa

[DaTa]

Так вот получилось мне таки вытянуть коечто. ПРикрепляю лог ComboFix, и последнее исследование системы при помощи АВЗяки.

По поводу найденого в логе:

\Device\HarddiskVolume1\DOCUME~1\toor\LOCALS~1\temp\RarSFX1\xtd73.exe - остаток доктор веба(CureIT).

C:\DOCUME~1\toor\LOCALS~1\Temp\Ei7w7w8L.sys - предположительно один из драйверов ComboFix'а так как я его еще не удалил.

 

Лог делал при включеных AVZGuard & AVZProcessMan.

 

Хочу отметить что значительная часть открытых портов на внешние айпи и на 25(мыло) порт была устранена в ходе удаления botdrv(%systemroot%\system32\driver.sys), а также после работы ComboFix.

 

Нус, что скажимс ?

log.txt

virusinfo_syscure.zip

[akoK]

2009-03-05 14:03 213120 F98D9547BC0E25B7DAFB64591B08E4E9 c:\windows\system32\dllcache\ndis.sys

2009-03-05 14:03 213120 F98D9547BC0E25B7DAFB64591B08E4E9 c:\windows\system32\drivers\ndis.sys

 

Оба файла изменены вредоносом. Нужно заменить заведемо чистым из дистрибутива.

Изменено 22 июля, 2009 пользователем akoK

[DaTa]

хм странно, я отправлял оба файла в вирлаб, отписали что вирусный код не обнаружен. Или вы имеете в ввиду что даже если в них нету вредоносного кода но руткит их как то изменил в свою сторону?

Пожалуйста опишыте подробнее даное действие вредоносного ПО!