Ботнет Torpig

[lamp0v]

Имеется информация о том, что несколько компьютеров заражены ботнетом Torpig. Происходила передача пакетов на ряд ip-адресов, видимо идентификация ботнета произошла после анализа сигнатур пакетов.

Машины были просканированы почти всеми известными утилитами, вредонос не найдет. Часть машин на Win7, часть на WinXP

Лог собрал с ХР

CollectionLog-2018.11.16-14.11.zip

[SQ]

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[lamp0v]

Прикрепляю отчеты

В дополнение - при удачном обнаружении желательно достать тело вредоноса

Спасибо

Addition.txt

FRST.txt

[SQ]

На сколько вижу в ответах вы запускали TDDSKiller, уточните пожалуйста он что-то находил и вы что-то удаляли с ним?

На сколько вижу в логах есть служба без dll не понятно это была вредоносная служба или нет:
 

S2 LanmanServer; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)

Уточните пожалуйста вам знаком следующий файл?
 

 C:\WINDOWS\system32\.new

Если нет, выполните пожалуйста следующие инструкции:
 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  File: C:\WINDOWS\system32\.new
  File: C:\WINDOWS\ucrtbase.dll
  Zip: C:\WINDOWS\system32\.new
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

[lamp0v]

Служба и файл не знакомы. Прикрепил лог-файл Farbar Recovery Scan Tool и отчет TDDSKiller, удаление не производилось.

Fixlog.txt

TDSSKiller.txt

Изменено 16 ноября, 2018 пользователем itc_pk

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

[lamp0v]

Отчет UVS

autorun_2018-11-19_08-37-11_v4.1.1.7z

[SQ]

По каким-то причинам стороние антивирусы видят угрозу в следующем файле, могли бы его отправать на newvirus@kaspersky.com и сообщить результат. Это необходимо, чтобы убедиться, что это ложное срабатывание.

C:\1\СПРАВКИБК\БК.EXE

Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
BREG
delref %Sys32%\DRIVERS\02643131.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
restart

[lamp0v]

Прикрепляю отчет после выполнения скрипта UVS

Файл в newvirus@kaspersky.com отправил

2018-11-19_10-22-57_log.txt

[SQ]

Сделайте пожалуйста лог uVS с загрузочного диска.

[lamp0v]

Автозапуск из загрузочного диска

admin_2018-11-19_12-02-24.7z

[SQ]

Я в загрузочном секторе не увидел угрозу, однако я запросил коллег также проверить ваш лог. Пожалуйста ожидайте моего следующего ответа в течение дня.

[SQ]

Коллеги подтвердили в указанных логах нет ничего плохого. Сообщите, что с проблемой?