Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Подозрение на заражение рабочей станции (http://forum.oszone.net/showthread.php?t=132291)

Zabejalo 17-02-2009 17:57 1041438
Подозрение на заражение рабочей станции
 
Вложений: 1
Подозрение на заражение рабочей станции. Посмотрите, пожалуйста, логи...

Pili 17-02-2009 18:41 1041471
Zabejalo, Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения и после него, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('abp470n5', 4);
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe','');
 QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\llmpnt.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\llmpnt.sys');
 DeleteFile('C:\WINDOWS\system32\winsys2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
 DeleteService('abp470n5');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\winsys2.exe');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\llmpnt.sys');
 BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него мне в ПМ.
Драйвер abp470n5 часто связан с наличием файлового вируса, типа sality, поэтому если вы не проверяли систему с помощью cureit и AVPTool, рекомендую проверить, загрузившись в безопасном режиме.

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Zabejalo 17-02-2009 19:05 1041492
Pili, спасибо! ЗдОрово.. Меня только немного смущает
Цитата:
Цитата Pili
скачайте установочный файл для своей ОС »
, т.е. я так понимаю, надо скачивать установочный образ системы... а это г. Астрахань, с 2.70 за Мб по дайлапу или adslью с обрывами, отключениями и медленной скоростью)

Pili 17-02-2009 19:09 1041497
Zabejalo, хмм... вообще WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe весит 4.4 МБ, но можете и не ставить, если это дорого.

Zabejalo 17-02-2009 19:25 1041517
))) я сначала неправильно понял. уже скачал, спасибо)

Zabejalo 18-02-2009 18:42 1042509
Pili, файл выложил, а вот дальше не получается: машина не грузится в безопасном режиме.

Pili 18-02-2009 19:09 1042531
Вложений: 1
Цитата:
Цитата Zabejalo
машина не грузится в безопасном режиме. »
В AVZ - восстановление - п.10.
Дополнительно можете распаковать прикрепленный файл и запустить reg файл

Zabejalo 19-02-2009 18:50 1043404
Вложений: 1
Pili, всё сделал. Отчет SDFix (report_) в прикреплённом файле.

Вот ComboFix 09-02-15.01 - Администратор 2009-02-19 14:15:30.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1022.851 [GMT 3:00]
Running from: c:\documents and settings\Администратор\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Администратор\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
читать дальше »


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\oeminfo.ini

.
((((((((((((((((((((((((( Files Created from 2009-01-19 to 2009-02-19 )))))))))))))))))))))))))))))))
.

2009-02-19 14:06 . 2009-02-19 14:06 <DIR> d-------- c:\windows\ERUNT
2009-02-19 14:04 . 2007-05-23 12:13 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2009-02-19 14:04 . 2007-05-23 12:13 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2009-02-19 14:04 . 2009-02-19 14:12 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2009-02-19 14:04 . 2009-02-19 14:12 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2009-02-19 14:04 . 2007-05-23 16:07 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2009-02-19 14:04 . 2009-02-19 14:04 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2009-02-19 14:04 . 2009-02-19 14:04 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2009-02-19 14:04 . 2009-02-19 14:04 <DIR> d-------- c:\documents and settings\Администратор
2009-02-18 16:22 . 2009-02-19 14:10 <DIR> d-------- C:\SDFix
2009-02-08 21:29 . 2009-02-08 21:29 11,264 --a------ c:\windows\system32\drivers\uzk0ndkx.sys
2009-02-07 19:15 . 2009-02-07 19:15 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2009-02-07 13:24 . 2009-02-19 09:32 136,388,640 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-07 13:24 . 2009-02-19 09:32 1,600,424 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-30 11:07 . 2009-01-30 11:07 <DIR> d-------- c:\program files\ESET
2009-01-30 11:07 . 2009-01-30 11:07 <DIR> d-------- c:\documents and settings\All Users\Application Data\ESET
2009-01-27 12:27 . 2008-12-23 17:51 9,828 --a------ C:\EANG000.TTF
2009-01-27 12:20 . 2009-01-27 12:20 <DIR> d-------- c:\documents and settings\Admin\WINDOWS
2009-01-27 12:20 . 1997-06-02 12:15 298,496 --a------ c:\windows\unin0419.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 08:43 --------- d-----w c:\program files\Winamp
2009-01-30 08:35 --------- d-----w c:\program files\Common Files\ACD Systems
2009-01-27 09:22 --------- d-----w c:\program files\1Cv77Buh
.

------- Sigcheck -------

2004-09-17 14:16 503808 a975a70fcefe2a224412214320c89ded c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="m‘|\ь" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"CAP3ON"="c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2002-08-22 22528]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-11-10 1980200]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-08-03 c:\windows\SkyTel.EXE]
"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Canon LASER SHOT LBP-1120 тїуAзизц.LNK - c:\windows\system32\spool\drivers\w32x86\3\CAP3LAK.EXE [2008-09-01 30720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2002-04-26 20:53 12288 c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\ALCMTR.EXE"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=
"c:\\WINDOWS\\SkyTel.EXE"=

R1 uzk0ndkx;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzk0ndkx.sys [2009-02-08 11264]
S1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2008-11-10 104456]
S1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-11-10 92168]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-11-10 711240]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Trickler - c:\documents and settings\admin\local settings\temp\~vis0000\fsg_4104.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 14:16:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-02-19 14:17:05
ComboFix-quarantined-files.txt 2009-02-19 11:17:04

Pre-Run: 81*683*673*088 байт свободно
Post-Run: 81,677,623,296 байт свободно

109

Pili 19-02-2009 19:58 1043456
Zabejalo, по логам ничего плохого не видно. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!
Пофиксите в hijackthis строчку
Код:
O4 - HKLM\..\Run: [GEST]
Проверьте на всякий случай файл c:\windows\system32\winlogon.exe на virustotal.com
Как себя чувствует компьютер?

Zabejalo 19-02-2009 20:20 1043472
Pili, спасибо, после таких антибиотиков должен, вроде, чувствовать лучше) Смущает, правда, пара строк в автозагрузке (msconfig). В этой микросетке (6 машин) открыты все жёсткие диски на общий доступ, стоят 6 разных антивирусов - ни один не работает. На всех я прогнал и AVZ и cureit и avp. Нашел только sality.z. И только У этой машины была такая проблема - периодически "теряла сеть", как мне сказали. Сейчас, вроде, всё нормально, хотя, если честно, я так и не понял, болела она чем-нибудь сейчас или нет. Ж-)

Zabejalo 19-02-2009 20:40 1043482
Pili, скажите, пожалуйста, а
Цитата:
Цитата Pili
В AVZ - восстановление - п.10. »
сработает на Windows Server 2003?

Pili 19-02-2009 20:46 1043487
Zabejalo, winlogon.exe по virustotal.com чист?
Цитата:
Цитата Zabejalo
Смущает, правда, пара строк в автозагрузке (msconfig) »
Какие строчки? Через msconfig у вас отключен NeroCheck.exe и winampa.exe - это легитимное ПО
Цитата:
Цитата Zabejalo
Нашел только sality.z. »
Zabejalo, По логам достаточно трудно определить файловый вирус, поэтому порекомендовал провериться с помощью cureit и AVPTool, надеюсь вы проверились этими утилитами, а вообще - метод лечения системы от файловых вирусов
Цитата:
Цитата Zabejalo
я так и не понял, болела она чем-нибудь сейчас или нет »
До выполнения скрипт были зловреды dll32.exe и llmpnt.sys, к сожалению в карантин они не попали, winsys2.exe - по ЛК чист, хотя здесь например числится зловредом.

Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Советую отключить неиспользуемые службы и настроить безопасность, если что не нужно, скажите, можно будет отключить скриптом (напр. доступ анонимного пользователя, административный доступ)
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь

Цитата:
Цитата Zabejalo
В AVZ - восстановление - п.10. »
сработает на Windows Server 2003? »
Крайне не рекомендую, вы можете вывести из строя сервер


Время: 10:47.

Время: 10:47.
© OSzone.net 2001-