Перейти к содержимому


Фото
- - - - -

комплекс вирусов - лечение симптомов, а не причины


  • Закрыто Тема закрыта
12 ответов в этой теме

#1 SectorDelta

SectorDelta

    Newbie

  • Banned
  • 6 Сообщений:

Отправлено 20 Январь 2019 - 20:04

Ситуация такая. На машину проник комплекс троянов.

Trojan.Dns.Change.10846
Trojan.DownLoader27.12848
Trojan.NtRootKit.19689
+ mbr
 
В прикрепленном архиве viruses.7z
 
CureIt находит и удаляет эти файла, но, как бы это сказать, когда они уже активизировались. А вот то что  их запускает он не видит. То есть после лечения и удаления файлов пишет, что угроз не обнаружено. Но сам исполнитель, тот модуль который все это запускает явно остается в системе. Через некоторое время, скачиваются и восстанавливаются все вышеперечисленные файлы, заражается mbr, появляется левый пользователь admin$, в реестре появляется ключ автозапуска start, запускается служба new и т.д. Все это, кстати, CureIt тоже не видит в упор. Ни службы, ни автозапуск, ни левого юзера. Только удаляет файлы. Что еще заметил, один раз среди служю такую.
служба akpl
 
<censored>
 
Но это все тоже следствие. Удаление не решает проблемы. Где-то прячется, не знаю как это называют, командный модуль, который невидимый и не обнаруживается и который запускает весь этот букет поновой...
 
:(
 
 

Сообщение было изменено Ivan Korolev: 21 Январь 2019 - 07:38
removed malicious links


#2 pig

pig

    Бредогенератор

  • Helpers
  • 10 557 Сообщений:

Отправлено 20 Январь 2019 - 21:00

Вам сюда: https://forum.drweb.com/index.php?showforum=35
Сейчас переместят. А пока читайте и выполняйте: https://forum.drweb.com/index.php?showtopic=313238
Почтовый сервер Eserv тоже работает с Dr.Web

#3 SectorDelta

SectorDelta

    Newbie

  • Banned
  • 6 Сообщений:

Отправлено 20 Январь 2019 - 22:15

Вам сюда: https://forum.drweb.com/index.php?showforum=35
Сейчас переместят. А пока читайте и выполняйте: https://forum.drweb.com/index.php?showtopic=313238

Читал я это. Не устраивает. В этих отчетах нарушение приватности, имена пользователей, структура каталогов, имена файлов и прочее. Поэтому и пишу сюда, нужна общий совет в какую сторону копать. Потому как стандартные требования по запуску CureIt, которые описаны на сайте DrWeb ничего не дают. Он тупо находит только то, что и так можно увидить и удалить руками в FARе например.



#4 provayder

provayder

    Poster

  • Posters
  • 1 584 Сообщений:

Отправлено 20 Январь 2019 - 22:49

В этих отчетах нарушение приватности

Экстрасенсы к сожалению в отпуске, а без отчетов поток фантазии может зарулить не туда. Ну а если по делу, то я бы обратил внимание на планировщик задача, точнее на наличие там "левых" заданий. Возможно там и разгадка находится.



#5 pig

pig

    Бредогенератор

  • Helpers
  • 10 557 Сообщений:

Отправлено 20 Январь 2019 - 23:13

нужна общий совет в какую сторону копать.

Копать всё равно в сторону логов. А уж коли боитесь за приватность - изучайте их сами. Авось углядите лишнее.
Почтовый сервер Eserv тоже работает с Dr.Web

#6 SectorDelta

SectorDelta

    Newbie

  • Banned
  • 6 Сообщений:

Отправлено 20 Январь 2019 - 23:49

Копать всё равно в сторону логов. А уж коли боитесь за приватность - изучайте их сами. Авось углядите лишнее.

 

Вот в том то и дело, что я вижу только результат, а не причину. Даже скрипт wmi понятно, как работает. Но инициатора всего этого нигде в логах нету. Руткит все скрывает. Я ведь даже сами файлы троянов прислал. Наверняка же известны схемы их проникновения и маскировки. Но текущий CureIt не может вылечить. Опознать файлы по сигнатуре и удалить это и дурак сможет)

Планировщик конесно первый на подозрении. Посмотрел сразу, заданий нет, я его даже отключил, но вирус, его включает опять. Хотя заданий нет и логи чистые. Может опять же руткит скрывает. Пока закрыл исходящие соединения файрволом, вирус активизироваться не может. Хотя видна деятельность, переодически запускается wmiprvse.exe, видимо скрипт отрабатывает. но не может соединиться с хостом. CureIt опять же молчит, угроз не обнаружено))

 

P.S. ОС Windows XP, TODO китайская?

Кому знакомы такие симптомы? Как бороться?



#7 SectorDelta

SectorDelta

    Newbie

  • Banned
  • 6 Сообщений:

Отправлено 20 Январь 2019 - 23:52

Я вроде архив с вирусами прикреплял, в первом посте, но не вижу.


Сообщение было изменено Ivan Korolev: 21 Январь 2019 - 07:37
Removed malware


#8 pig

pig

    Бредогенератор

  • Helpers
  • 10 557 Сообщений:

Отправлено 21 Январь 2019 - 01:02

А вот вредоносов распространять через форум - это западло. Запрещено, короче.
Почтовый сервер Eserv тоже работает с Dr.Web

#9 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 872 Сообщений:

Отправлено 21 Январь 2019 - 07:36

Если ванговать - ставьте MS17-010. Для нормального ответа, выкладывайте лог sysinfo. Если боитесь выкладывать в паблик, можете ссылку мне в личку отправить.



#10 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 2 873 Сообщений:

Отправлено 21 Январь 2019 - 11:42

Логи  можно в личку или через СТП или форму вирлаба.

Так-то да, в ХП легко могут по сети заползать, не имея постоянной базы на самом хосте.


(exit 0)


#11 VVS

VVS

    The Master

  • Moderators
  • 17 005 Сообщений:

Отправлено 21 Январь 2019 - 11:47

SectorDelta, Вы логи любым из вышеперечисленных способов уже отправили?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#12 SectorDelta

SectorDelta

    Newbie

  • Banned
  • 6 Сообщений:

Отправлено 21 Январь 2019 - 12:51

Если бы я хотел отправлять логи, я написал бы в помощь по лечению. Я специально написал в общие вопросы, чтобы получить общую концепцию лечения. А не подход типа пришла домохозяйка на прием, давай документы и сиди тихо жди.  Мне казалось, что для данного раздела форума я отправил более чем достаточно данных: название всех троянов, все найденные файлы, службы, скрипты. Трояны опознаны, значит уже исследованы, стандартные методы проникновения должны быть известны. Хоть что-то должно быть известно. Если все это в рамках данного раздела форума "фантазии" и "вангование", то я даже не знаю что тут еще сказать. Не такого я ожидал от специализированного форума известного антивируса. DrWeb тут возможно не причем, но все равно желание покупать какие-то платные продукты при таком подходе отпадает. Антиреклама (



#13 VVS

VVS

    The Master

  • Moderators
  • 17 005 Сообщений:

Отправлено 21 Январь 2019 - 13:00

SectorDelta, здесь, как Вы правильно заметили, специализированный форум, а не бесплатные курсы по обучению борьбе с сусликами.

С какой стати вирусные аналитики должны тратить своё время на теоретические разъяснения Вам, вместо того, чтобы (при наличии логов) решить задачу за несколько минут.

У них и без этого дел предостаточно...

 

Нет логов - нет проблемы. © народное.

Тема закрыта.

Модератор.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых