17 ответов в этой теме

[hack]

Прошу помочь с вирусом.
В назначенных заданиях появляются задания at1 at99 at250 и т.далее
В свойствах этих задания в строке выполнить написано: rundll32.exe tvycqa.ejm,cvkymf
проблема в том что rundll32.exe не заражен, а файлы tvycqa.ejm поиском на диске не находятся.
И в реестре поиском такого нет... +каждый раз в свойствах после rundll32.exe различный текст бывает к примеру: rundll32.exe qqgsmcx.p,lwirz

GMER: сразу нашел:

GMER 1.0.15.15252 - http://www.gmer.net
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ezlfx <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] zqlbcxjq <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
Их сделал Disable, компьютер не перегружал, после запустил остальные все сканеры: hijack, rku, cureit.
прикладываю все логи.

ps.
И еще, до этого удалял вирус через GMER так же, но после он снова появился/
Как мне объяснили лезет он через ADMIN$ ресурс, такой ресурс закрыл.

Прикрепленные файлы:

•  ____.rar   102,48К   53 Скачано раз

[mrbelyash]

 лог Gmer и Rootrepeal тоже прицепите 

D:\UserDocs\ivan\LOCALS~1\Temp\1\pxddapow.sys-знаете что это?

Что-то еще висит от  Sygate Technologies

[hack]

ок.

D:\UserDocs\ivan\LOCALS~1\Temp\1\pxddapow.sys-знаете что это?

сейчас зашел в эту папку. такого файла там уже нет...

ps.
забыл отключить/удалить антивирус перед сканированием (sygate),
нужно ли пересканировать еще раз?

Прикрепленные файлы:

•  gmer.rar   8,15К   55 Скачано раз

[mrbelyash]

D:\UserDocs\ivan\LOCALS~1\Temp\1\pxddapow.sys-знаете что это?

Gmer это

Попробуйте сдампить C:\WINDOWS\system32\svchost.exe может там буква "о" русская
Возможно поможет вот такая команда

gmer.exe -del service tcumceau

Сообщение было изменено mrbelyash: 08 Январь 2010 - 12:35

[hack]

при root repeal - как и раньше компьютер перегружается.
но до запуска такое сообщение вылазиет.

Прикрепленные файлы:

•  root_repeal.rar   3,66К   53 Скачано раз

[mrbelyash]

при root repeal - как и раньше компьютер перегружается.
но до запуска такое сообщение вылазиет.

Скриншоты сохраняйте в формате png

И какую кнопку вы нажимали?

[userr]

hack
почему лог старого RkUnhooker ?
почему лог старого gmer ?

У Вас сервер Windows 2003 SP2 используется как рабочая станция, что ли ?
Обновления от M$ все стоят?

[hack]

ок удалил.

а как дамп сделать? посмотрел файл. вроде всё ок с ним.

И какую кнопку вы нажимали?

yes

[hack]

Обновления от M$ все стоят?

все, в режиме онлайн.

почему лог старого RkUnhooker ?
почему лог старого gmer ?

-вирус давно сидит.
тогда еще хотел отправить - но gmer находит...
не думал что вернется -)

[hack]

И еще одна информация.
то что GMER выдает как ROOTKIT - скорее всего еще один вирус.
т.к. на другом компьютере: с таким же вирусом в "Назначенных заданиях".
GMER не выдает никаких таких ошибок (Rootkit'ов).

[mrbelyash]

И еще одна информация.
то что GMER выдает как ROOTKIT - скорее всего еще один вирус.
т.к. на другом компьютере: с таким же вирусом в "Назначенных заданиях".
GMER не выдает никаких таких ошибок (Rootkit'ов).

В назначенном задании должен быть путь к файлу.Посмотрите что там.

[hack]

Да, в свойствах назначенных заданий только это:
rundll32.exe tvycqa.ejm,cvkymf
Рабочая папка: пусто.

Составлено NetScheduleJobAdd.
В 11.00 каждую неделю по пн.вт. ср. чт.пт.сб.вс
и т.д. с разницей 1 час.

прикрепил .job файлы.

Прикрепленные файлы:

•  at.rar   1,06К   30 Скачано раз

[mrbelyash]

Лог сюда

[hack]

explorer.exe

Прикрепленные файлы:

•  explorer.exe.txt   10,38К   101 Скачано раз

[Alexey_P]

это ж кидо, по доктору Shadow.Based.
По сети ходит двумя способами - через дыру на непатченные компьютеры и с подбором пароля админа на патченные. А если пароль пустой - тем более.
Подобрав пароль, червь при каждой внешней атаке ложит файл в system32 и *.job для его запуска раз в час через rundll32.
Если файла, указанного в ваших *.job - xgxve.t в %windir%\system32 нету, значит, его уже убил кто-то. Можно для проверки создать свой пустой с этим именем, чтобы убедиться, что такого скрытого нету.

Вот насчет пароля админа - имхо, Ваш случай. Меняйте пароли на более сложные или поставьте, если нету.

А еще до смены убейте все процессы rundll32 и удалите все *.job в %windir%\Tasks. Я вообще останавливал службу шедулера.

[Alexey_P]

Странно, что у вас имена файла разные - разные компьютеры, что ли ? Или научился менять уже, гадюко.

[hack]

еще до смены убейте все процессы rundll32 и удалите все *.job в %windir%\Tasks.

а можно убивать процессы rundll32? в job уже все пусто.

Странно, что у вас имена файла разные - разные компьютеры, что ли ? Или научился менять уже, гадюко.

да..

Но странно, если вирус давно удален, каким образом появляются задания сами, и службы которые я делал Disabled в GMER, как стали снова ENABLED.
но уже их удалил. хотя это может уже и другой вирус, т.к. на другом компе таких вообще не было )

Но пока (после последнего конкретного удаления) всё чисто.

Вот насчет пароля админа - имхо, Ваш случай. Меняйте пароли на более сложные или поставьте, если нету.

ок спасибо.

[Alexey_P]

еще до смены убейте все процессы rundll32 и удалите все *.job в %windir%\Tasks.
а можно убивать процессы rundll32? в job уже все пусто.

Нет, не все, у Вас от симантека какие-то длл через него запущены, их надо оставить, а троянские прибить.
Поставьте FAR, новый юникодный 2.0 я не смотрел, у меня еще старый 1.70. Видимо, спокойнее взять там версию 1.75. В дистрибутиве по дефолту уже есть плагин ProcList для просмотра процессов.
Запускаете, открываете список процессов по Alt-F1 - Process List, наводите курсор поочередно на процессы rundll32, жмете F3 и смотрите параметры командной строки - что именно запущено через rundll32, какая dll. Думаю, для Вас этого будет достаточно, чтобы отличить нормальные процессы от троянских.
те. в открывшемся окне с информацией о процессе ищете в верхней части строку
Command Line:
тут будет полная ком.строка запуска rundll32 с указанием dll.

Там же в FAR можно и прибивать троянские процессы.

Но странно, если вирус давно удален, каким образом появляются задания сами, и службы которые я делал Disabled в GMER, как стали снова ENABLED.
но уже их удалил. хотя это может уже и другой вирус, т.к. на другом компе таких вообще не было )
Но пока (после последнего конкретного удаления) всё чисто.

Файлы длл в system32 и задания для их запуска червь ложит при атаке по сети. Значит, точно смог подобрать пароль админа или он вообще пустой.
А чисто - т.к. выходные, юзерские зараженные машины выключены, некому атаковать. Включат 11 числа - кино продолжится.
Ставьте пароль админа нормальный, и червь обломится.
Юзерам на все машины в старт-скрипт добавьте MRT.
Подробнее о ней тут: http://support.microsoft.com/kb/891716/
Очень полезная штука в Вашем случае для массовой чистки машин, и логи пусть на сервер ложит, бывает полезно иногда - приходишь чистить атаковавшую машину, а длл червя нету. То ли спрятана мудро, то ли правда уже нету. Смотришь лог - оказывается, МРТ полчаса назад при включении этого компьютера червя уже убила, в логе на сервере это записано.