36 ответов в этой теме

[m.knyazev]

Здравствуте.
Сервер заражен вирусом очень похожим на kido
Симптомы такие:
- постоянно появляются задания
- в сервисах появляется rundll
- вся система начинает дико тормозить
- symantec постоянно отлавливает в C:\WINDOWS\System32\ cltcibcx.h и в C:\WINDOWS\System32\drivers\ utixntg1.sys и удоляит их
вот процес который их генерирует отловить не получается.
Сейчас в режиме мониторинга висит КК.ехе и отлавливает задания.

Проверял кучей утилит avz, CuteIt , avp tool, и еще рядом онлайновых проверок.
Все логи чего смог сохранить прилогаются.

Прикрепленные файлы:

•  hijackthis.log   5,98К   113 Скачано раз
•  virustotal.com.txt   2К   104 Скачано раз
•  cureit_results.cab   76,54К   100 Скачано раз

[YVS]

Зашлите эти файлы в вирлаб, пожалуйста.
C:\WINDOWS\System32\cltcibcx.h
C:\WINDOWS\System32\drivers\utixntg1.sys
и тот, который проверяли на VirusTotal

Еще нужен лог RkU.

[userr]

m.knyazev
дополнение
вирлаб - http://vms.drweb.com/sendvirus
приведите здесь спец. номера (тикеты) из ответов вирлаба

[m.knyazev]

m.knyazev
дополнение
вирлаб - http://vms.drweb.com/sendvirus
приведите здесь спец. номера (тикеты) из ответов вирлаба

сами файлы заслать не смогу, они мгновенно удаляются антивирусом, а вот файлы из карантина сумантика пожалуйста.
Сейчас лог прикреплю, эх найдено 2 руткита http://forum.drweb.com/public/style_emoticons/default/sad.png

Прикрепленные файлы:

•  Report.txt   35,63К   120 Скачано раз

[m.knyazev]

Отправил из карантина сумантика файлик с utixntg1.sys drweb.com #883937
Второй пока отловить не удалось.

[YVS]

Посмотрите, что за файл
C:\DOCUME~1\temp1\LOCALS~1\Temp\1\824pLBDd.sys

[m.knyazev]

Посмотрите, что за файл
C:\DOCUME~1\temp1\LOCALS~1\Temp\1\824pLBDd.sys

хм..... нет такого файла, папка пуста

[m.knyazev]

вот опять http://forum.drweb.com/public/style_emoticons/default/sad.png
F:\>KK.exe -m
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.4.7 May 5 2009 14:39:10
monitoring jobs, threads, services ...
Infected job (JobFile C:\WINDOWS\Tasks\At1.job) was deleted

[YVS]

Сделайте, пожалуйста, экспорт ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

[m.knyazev]

Сделайте, пожалуйста, экспорт ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

вот

Прикрепленные файлы:

•  SvcHost.rar   1,3К   82 Скачано раз

[Borka]

вот опять http://forum.drweb.com/public/style_emoticons/default/sad.png
F:\>KK.exe -m
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009

Патчи установлены?

[m.knyazev]

вот опять http://forum.drweb.com/public/style_emoticons/default/sad.png
F:\>KK.exe -m
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009

Патчи установлены?

Да, все патчи стоят. Это было проверено в первую очередь.

[Borka]

Сделайте, пожалуйста, экспорт ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

вот

Суслика в netsvcs не вижу. Вопрос о патчах актуален. Какая винда - не самосборка ли какая?

[m.knyazev]

C:\WINDOWS\Tasks\At1.job - появляются при входе пользователя в систему

[m.knyazev]

Сделайте, пожалуйста, экспорт ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

вот

Суслика в netsvcs не вижу. Вопрос о патчах актуален. Какая винда - не самосборка ли какая?

ОС - Windows Server 2003 R2 Sp2 EE Eng - лицензия.
Патчи еще раз проверил, все установлены.

[Borka]

Сделайте, пожалуйста, экспорт ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

вот

Суслика в netsvcs не вижу. Вопрос о патчах актуален. Какая винда - не самосборка ли какая?

ОС - Windows Server 2003 R2 Sp2 EE Eng - лицензия.
Патчи еще раз проверил, все установлены.

Пароли сильные?

[m.knyazev]

Вот, если поможет, лог утилиты КК

Прикрепленные файлы:

•  report.rar   26,07К   104 Скачано раз

[m.knyazev]

Сделайте, пожалуйста, экспорт ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

вот

Суслика в netsvcs не вижу. Вопрос о патчах актуален. Какая винда - не самосборка ли какая?

ОС - Windows Server 2003 R2 Sp2 EE Eng - лицензия.
Патчи еще раз проверил, все установлены.

Пароли сильные?

У пользователей не очень, у админа 152 бита

[Borka]

Пароли сильные?

У пользователей не очень, у админа 152 бита

?

[m.knyazev]

эх....
Ваш запрос был проанализирован. Присланный Вами файл не представляет угрозы.