Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Война с бессмертными Ntos.exe, audio.dll, video.dll, 20000 зараженных файлов, мертвый браузер и нод32
 
Мое исследование не претендует на лавры профессиального администрирования.Я просто юзер.С компьютерами творилось нечто невероятное, с чем мне никогда не приходилось сталкиватся.

 Признаки зараженной системы. Корни.
1)ресурс в общем доступе  в сетке, под произвольным именем
2)скрытая папка “wsnpoem” в system32.содержащая  audio.dll, video.dll
3)ntos.exe   в system32
4)неубиваемый файл с раширением *.tmp,под произвольным именем
5)скрытая папка Settings в Общих документах с содержанием *.dll  desktop.ini.
Имя *.dll соответствовало имени ресурса открытого к общему доступу.
6)безмятежно спящий нод32.

 Признаки зараженной системы.Последствия.
1.совершенно мертвый IE 7, никакого соединения.
2.неубиваемый процесс iexplore.exe с захватом ресурсов процессора до 100%
3.нарастающее количество всевозможных файлов *.dll, *.exe  в  system32
4.превращение компа в “зомби”, прокси сервера для спама и дддос.

  Начал копаться в безопасном режиме: CPU  до 100%, процесс iexplore.exe не убивается из за того что не постоянен.Амплитуда включений 1-2 сек.GMER вообще не мог его захватить.Ну думаю, настала пора подключать к другому компу.Тут уже начались невероятные вещи, Папка “settings” с содержанием *.dll  desktop.ini.скрытая  в общих документах   была НЕ ВИДНА в безопасном режиме с правами администратора.Вновь подключил к первой системе....есть.Стер.

 Решил теперь на первой системе , ради интереса, попробовать удалить парочку  *.exe в безопасном режиме в  system32  и Temp  ....он и не удаляются.Пришлось использовать  Unlocker, с большим трудом удалось после 2-3 перегрузок стереть файлы.Содержимое папки “wsnpoem” в system32 удалось стереть только через GMER, утилита   Unlocker не помогла.
   Так и не смог получить ответа,что же  делали скрытые  файлы в папке Drivers?   Без расширения, не определяемые НИЧЕМ, только   благодаря интуиции определил, что они как то связаны с тем кавардаком в системе. Попробовал удалить.Не могу, опять через GMER. Он выдал сообщение об ошибке и перегрузил комп.Только после мытарств с отключением  “winlogon”, с висящим сообщением о критической ошибке и обратным отсчетом, удалось стереть эти два файла.К сожалению их уничтожил безвозвратно.Не взяв в архив.

 После вот таких приключений решил посмотреть, кто стал хозяином зараженного компа. DNS был подменен на 85.255.116.99 / 85.255.112.66. Узнаешь, урод?

Information related to '85.255.112.0 - 85.255.127.255'
inetnum:         85.255.112.0 - 85.255.127.255
netname:         UkrTeleGroup
descr:           UkrTeleGroup Ltd.
country:         UA
address:         UkrTeleGroup Ltd.
               Mechnikova 58/5
               65029 Odessa
               Ukraine
phone:                       +380487311011      
fax-no:          +380487502499
mnt-ref:         UKRTELE-MNT
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered
person:          Andrew Sotov
address:         Mechnikova 58/5 65029 Odessa
abuse-mailbox:   abuse@ukrtelegroup.com.ua
phone:                       +380631508855      

что делает украинский  DNS в Турции:) ?


 Решил немного получить инфу с интернета, но в большинстве своем информация  из поисковиков сводилась исключительно к уничтожению данной заразы с помощьюSDFix. Я же аккуратно заархивировал большую часть файлов.Особенно радуюсь папочке “wsnpoem”,которую в упор Касп не видит, а также “wsock3.dll” намертво, убившую связь интернет и  “mssrv32.exe” которую можно использовать как утилиту для разогрева CPU.
 
 Благодарю разработчиков Windows xp  за такой  режим  безопасный, с правами Администратора, где  я  без помощи сторонних утилит не могу удалить  файлы даже  в Temp.Особенная благодарность разработчику системного реестра, за то что можно вписать всякую хрень, кому угодно, в системные политики, типа   "software\ microsoft\windows\ currentversion\ policies\ system ”DisableTaskMgr”

Для любителей поэкспериментировать могу предоставить  все "коллекционные" файлы.

Вот что будет с компом если защита дырявая.

Рег ключики
 
Darth Vader

Для этого существует утилита AVZ. А то с чем ты столкнулся вещь очень не плохо известная - называется "rootkit". Её цель - захват управления атакуемой системой с одновременной маскировкой данного события. И то, что сам сумел с ним справиться - молодец. Не многие пользователи не профессионалы смогли бы правильно разобраться в данной ситуации. От всей души поздравляю с победой. Этот опыт дорогого стоит.

Удачи и не забывай учится.

С уважением, VictorVG
 
Добавлю: на систему надо поставить надёжный брэндмауер, могу рекомендовать Jetico Personal Firewall Pro V2. Скачать последнюю версию можно по указанному адресу. Но имей ввиду - Jetico требует знаний, хотя за это отлично работает. А пару Ad-AVARE + KAV я бы рекомендовал заменить на иную пару - Symantec AntiVirus Corporate Edition 10.1.7.7000 Russian (официальная русская версия) + AVZ. На моём сайте AVZ 4.30 Installer можно скачать готовую сборку с инструментами для автоматического обновления баз AVZ с использованием любого планировщика заданий, например nnCron, русская страница загрузки - там имеется обновлённая документация, дополнительные модули и большое количество ссылок.
 
VictorVG
Благодарю.
Cкачал рекомендованный  Вами Firewall.Буду сравнивать на двух разных клиентах с Agnitum Sec. suite Pro 2008.
Страницы: 1
Читают тему