65 ответов в этой теме

[_Sandra_]

На машинах в сети, после обновления баз понаходился Trojan.Siggen.2002 (вроде как активный, был в dll под разными именами в system32). После лечения и перезагрузки Спайдер систематически "находит"

08-01-2009 15:30:03 [CL] (PID = 0244) C:\USERS\Default User\Local Settings\Temporary Internet Files\Content.IE5\XPZKGIZ0\xnnlxllt[1].jpg - инфицирован Trojan.Siggen.2002
08-01-2009 15:30:03 [CL] (PID = 0244) C:\WINNT\system32\x - инфицирован Trojan.Siggen.2002
08-01-2009 15:30:03 C:\USERS\Default User\Local Settings\Temporary Internet Files\Content.IE5\XPZKGIZ0\xnnlxllt[1].jpg - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 15:30:04 [CL] (PID = 0244) C:\USERS\Default User\Local Settings\Temporary Internet Files\Content.IE5\XPZKGIZ0\xnnlxllt[1].jpg - перемещен как 'C:\Program Files\DrWeb\infected.!!!\xnnlxllt[1].jpg.22462D57'
08-01-2009 15:30:04 C:\WINNT\system32\x - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 15:30:04 [CL] (PID = 0244) C:\WINNT\system32\x - перемещен как 'C:\Program Files\DrWeb\infected.!!!\x.54F5F3FA'
08-01-2009 15:51:37 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002
08-01-2009 15:51:37 C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 15:51:37 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - перемещен как 'C:\Program Files\DrWeb\infected.!!!\eqoqwl.r.19477BA'
08-01-2009 16:04:14 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002
08-01-2009 16:04:15 C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 16:04:15 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - перемещен как 'C:\Program Files\DrWeb\infected.!!!\eqoqwl.r.420EA715'

PID - Процесс SYSTEM (8) и services (244).

Как он попадает на комп? Используется уязвимость винды?

[Black Angel]

Советую почистить кеш браузера. Возможно, нужно отключить восстановление системы на период лечения.

[_Sandra_]

В win2000 востановления системы нету. Больше нигде на машине активного вредносного кода не находится (при быстром сканировании)...

[Malex]

А почему бы не попробовать пролечится в безопасном режиме, а ещё с LiveCD?

[Black Angel]

Почистите кеш браузера и попробуйте просканировать в безопасном режиме. На комп зверь мог попасть разными путями: инет, диски, флэшки и т.д.

[Borka]

PID - Процесс SYSTEM (8) и services (244).
Как он попадает на комп? Используется уязвимость винды?

Судя по PID'ам, это может быть и по сети, и локальный драйвер дроппает, и инжект в services.exe

[_Sandra_]

Вот и я про то, что пути только хитрые есть... При сканировании больше ничего не ходит. Но в сети еще были компы с активной заразой, может они и пытались ее "заселить"...

[AndreyKa]

Вот и я про то, что пути только хитрые есть... При сканировании больше ничего не ходит. Но в сети еще были компы с активной заразой, может они и пытались ее "заселить"...

Касперский его детектирует как Net-Worm.Win32.Kido.ed. А это семейство распространяется, используя уязвимость, описанную в бюллетене http://www.microsoft.com/technet/security/...n/MS08-067.mspx

[_Sandra_]

Вот и я про то, что пути только хитрые есть... При сканировании больше ничего не ходит. Но в сети еще были компы с активной заразой, может они и пытались ее "заселить"...

Касперский его детектирует как Net-Worm.Win32.Kido.ed. А это семейство распространяется, используя уязвимость, описанную в бюллетене http://www.microsoft.com/technet/security/...n/MS08-067.mspx

Пасиба за наводку, так и чувствовал что он селится на комп "сам по себе" Тот же принцип распространения использует, по всей видимости и http://forum.drweb.com/index.php?showtopic=276825

[_Sandra_]

Может я делаю что-то не так... Но обновление это не помогает... Спайдер опять прибивает новообразовавшиеся файлы.

[_Sandra_]

После установки Microsoft Security Bulletin MS08-067 и Microsoft Security Bulletin MS08-068 вирусы от процесса services.exe приходить перестали. От процесса SYSTEM - остались. Похоже мелкософт чего-то не доделал Что скажут спецы из ДрВеба???

[headliner]

Почистите кэш, отключите систему восстановления, перегрузите комп в защищенный режим, и проверяйтесь сканером. (полностью)

[_Sandra_]

Почистите кэш, отключите систему восстановления, перегрузите комп в защищенный режим, и проверяйтесь сканером. (полностью)

Причем тут все это? Если вы не знаете, в Windows 2000 нет востановления системы. Как кэш может влиять на попытку заражения через процесс SYSTEM?

[Borka]

После установки Microsoft Security Bulletin MS08-067 и Microsoft Security Bulletin MS08-068 вирусы от процесса services.exe приходить перестали. От процесса SYSTEM - остались. Похоже мелкософт чего-то не доделал Что скажут спецы из ДрВеба???

Думаю, в системе может кто-то жить (недетектируемый драйвер-дроппер, например), если спайдер отлавливает файлы при отключенной сети. Если только при подключенной - значит, впингвинивают из локалки.

[Malex]

Причем тут все это? Если вы не знаете, в Windows 2000 нет востановления системы. Как кэш может влиять на попытку заражения через процесс SYSTEM?

Приложите, пожалуйста, логи Хайджека и РКУ

[Ocsic]

Присоединяюсь к проблеме. Все происходит в точности так, как описал _Sandra_
Могу еще добавить, что на некоторых (но не на всех) компьютерах создается несколько назначенных заданий, которые начинаются с "rundll32.exe "некоторая dll-ка"" со случайным расширением. Название у этих заданий At1, At2, At3 и т.д.
Заплатка от Microsoft проблему решила только наполовину.
Что еще заметил - инфицируются машины как с Win2000, так и с WinXP (и SP2, и SP3). Кроме того, на общем сетевом диске создается скрытый файл autorun.inf с двоичным содержимым. Так же там же создается папка RECYCLER, внутри которой папка с кодом пользователя, внутри которой файл jwgkvsq.vmx Причем у этих файлов настроены параметры NTFS-безопасности так, что сходу их удалить нельзя. Нужно сначала стать владельцем этого файла, потом добавить своему юзеру полный доступ, и только потом их можно удалить. Проблеме уже третий день...

[Ocsic]

Надеюсь, что проблему решил установкой следующих критических обновлений:
KB956802, KB957097 и вышеупомянутого KB958644 с последующей перезагрузкой и проверкой сканером Drweb папки windows\system32, где он нашел и удалил Trojan.Siggen.2002 (чаще это dll-ка, иногда файл с раширением *.c) Его размер 167324 bytes До установки заплаток DrWEB не мог получить доступ к этому файлу и спокойно писал "Вирусов не найдено". Увидеть проблему можно было только открыв файл отчета DrWEB и найдя там строчку с ошибкой доступа к файлу с вирусом.
Больше пока файл с вирусом не появляется (3 тьфу).
Сам файл вируса здесь - http://www.virustotal.com/ru/analisis/cc8b...482964f2023f38b

[Ocsic]

Я поторопился. DLL-ка в SYSTEM32 после перезагрузки опять появилась...

[mrbelyash]

Я поторопился. DLL-ка в SYSTEM32 после перезагрузки опять появилась...

Проверяли/лечили с отключенной сетью?

[Ocsic]

Я поторопился. DLL-ка в SYSTEM32 после перезагрузки опять появилась...

Проверяли/лечили с отключенной сетью?

Лечил и проверял с подключенной сетью. Сеть отключить нет возможности, компы должны быть в сети. Причем dll-ка появилась не сразу, а где-то через 20-30 мин после лечения/удаления... Получается заплатки или не совсем те/не все, или "кривые"