sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Всем привет! Стоит у нас в большой корпоративной сетке Cisco PIX, и каждый день ее логи анализируюся.. любая TCP активность в сторону левых интернет-адресов засекается и рассылается отчет с указанием IP источника, ну и так далее. Смотрю логи - лезет на два разных ip периодически меняя их: 67.43.236.106:7000 и 72.10.172.213:7000. Лезет вроде как процесс explorer.exe. Прошерстил всю машину DrWeb CureIt!, загрузочным KAV 7.0.. всё чисто!!! Сверил на всякий случай хеш файла explorer.exe с оригиналом - 1 в 1.. Понятно что лезето что-то другое через него.. На ночь ставил снифер, товарищ шлет постоянно так называемые SYN-пакеты, но т.к. PIXа не пропускает их, он шлет их заново запускаясь каждые секунд 15 и делая несколько попыток.. Погуглил на тему IP-адреса: нашлось только это http://www.nothink.org/malware/report/hash-1.html но я что-то пока до конца не разобрался как удалить вирусы используя эту инфу..   Ну вот пока вся инфа на данный момент.. У кого есть опыт по этой фигне - делимся, не стесняемся.. Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 06:29 24-07-2008

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sLap http://wampir.mroczna-zaloga.org/archives/337-Tamagotchi-VI-co-wida-na-ywo.html а для просмотра того, что прицепилось к explorer, пользуйтесь ProcessExplorer http://technet.microsoft.com/en-us/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683.aspx с помощью их же Autoruns смотреть где и что цепляется к winlogon и так далее   ps: везде пишут, что это keylogger ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 06:37 24-07-2008 | Исправлено: Cheery, 06:38 24-07-2008

sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Cheery Спасибо! Autoruns на первый взгляд очень понравился не знал про него, SysInternals делают клевые вещи! Респект им! Завтра поковыряю, отпишусь.. Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 13:06 24-07-2008

sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вобщем ковыряю я ковыряю все эти кмпоненты.. сравниваю с *.arn незараженной машины... отключаю отличающиеся... но воз и ныне там Может поможете? Век не забуду! Выкладываю AutoRuns.arn с зараженной машины http://narod.ru/disk/1651069000/AutoRuns.rar.html Давайте вместе найдем лекарство от этой заразы!   Добавлено: Кстати ВСЕХ С ПРОФЕССИОНАЛЬНЫМ ПРАЗНИКОМ =) Устойчивого коннекта, безупречного долгого апа во всем!!! =) Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 06:15 25-07-2008 | Исправлено: sLap, 06:16 25-07-2008

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sLap с виду все ок.. ед, что смущает, это WinPcap драйвер.. кто ставил то?   и event логи говорят что то? может там вируса уже нет.. или у кого то еще доступ к DameWare есть ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 06:41 25-07-2008

sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вот эту вот хрень в AutoRuns удаляю все время, и в префетч тоже удалял (как советовал наш славянский брат).. а она после перезагрузки снова там.. по этому пути кстати вобще ничего нет.. вирус очень хорошо прячется, блин! похоже висит только в памяти после запуска.. n/a   c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe   Добавлено: Cheery я ставил.. снифил..   Добавлено: дамварь тоже мое.. одминим по нему.. Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 06:44 25-07-2008

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sLap Цитата: а она после перезагрузки снова там.. по этому пути кстати вобще ничего нет.. вирус очень хорошо прячется, блин! похоже висит только в памяти после запуска.. n/a   c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe именно.. ты бы полную запись слал, а не с удаленной фигней.. это он и есть - троян для удаления из памяти как раз ProccessExplorer из того же пакета Цитата: System Changes   These are general defaults for typical path variables. (Although they may differ, these examples are common.): %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files   The following files have been added to the system:   # c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013 # c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\desktop.ini # c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe   The following registry elements have been created:   # HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612}\       * stubpath = c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013       \ise32.exe     запускается как "имитация" сервиса ..   HKCU\..\Run: [Internet Security Service] c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe   советую еще смотреть утилитой hijackthis выводит список всего, что где то цепляется и запускается   советую после удаления файла перезапустить оболочку explorer.exe ну и чтобы ничего лишнего в памяти не сидело ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 06:47 25-07-2008 | Исправлено: Cheery, 06:52 25-07-2008

sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ProcessExplorer то его убивает.. но когда я пытаюсь убрать его из автозагрузки, что-то его туда опять возвращает!   Добавлено: я даже фаром уже сам файл нашел и удалил.. а что-то другое добавляло несуществующий файл в ветку реестра  пока не перезагрузил комп.. счас всё чисто, спасибо!   PS: вот тут народ его AVZ скриптом выводит http://virusinfo.info/showthread.php?t=23139   Добавлено: Цитата: советую еще смотреть утилитой hijackthis   им еще в самом начале смотрел, ничего он не находил как раз таки..     Добавлено: странно что они до сих пор не обнаружили его.. а вот и он сам http://narod.ru/disk/1654259000/ise32.rar.html пароль на rar - "virus" Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 09:18 25-07-2008

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sLap Цитата: им еще в самом начале смотрел, ничего он не находил как раз таки..   не находит что? зачем ниже картинки с каспера?     Цитата: странно что они до сих пор не обнаружили его ну так и пошлите касперу http://www.kaspersky.ru/newvirus ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 22:52 25-07-2008

sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: не находит что? зачем ниже картинки с каспера?   hijackthis не показывает это stubpath = c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe   даже близко.. Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 03:57 28-07-2008

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Новая модификация полиморфного вируса..

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование