|
05.12.2004 17:07:14
Указанный Вами адрес относится к динамическому блоку Deutsche Telecom.
Из описанного Вами складывается впечатление о наличии в систем трояна. |
|
|
|
|
|
05.12.2004 17:39:17
Согласен - у меня тоже закралось подобная мысль. Но что можно сделать???
|
|
|
|
|
|
05.12.2004 23:05:21
Качаешь и, запустив его, смотришь в свойствах процесса System вкладку Threads и ищещь незнакомые драйверы. Ну и заодно вкладка TCP/IP может чего интересного покажет.
|
|
|
|
|
|
16.12.2004 20:33:55
эт ничего.....я вот недавно офигел поначалу....оказывается меня админы МажорДома ломать собрались.....по крайней мере первый анализ ситуации показал именно на них
 |
|
|
|
|
|
03.03.2005 01:26:56
Присоединяюсь к просьбе Объясните и мне...
1)У меня процесс System постоянно на 80 удаленный порт на разные IP-адреса (например:itc.ua,counter.rambler.ru...)пытается что-то отправить(с разных локальных портов)...Причем иногда очень активно стучится(причем,при незапущенном IE или Opera),а иногда молчит.В Outpost прописал после разрешений подключаться на удаленный 80 порт для Web-brouser-a и svchost,запрет на подключения все остальных..Ad-Aware,SpyBot,PestPatrol,Panda Antivirus ничего не видят.... 2)netstat -ano пишет Имя Локальный адрес Внешний Состояние PID TCP 0.0.0.0:1025&nb sp; 0.0 .0.0:0 LISTENING 4 TCP 127.0.0.1:6083 0.0.0.0:0 LISTENING 1928 TCP 127.0.0.1:31595 0.0.0.0:0 LISTENING 540 UDP 0.0.0.0:500&nbs p; *:* ; 636 UDP 0.0.0.0:1027 *:* ; 944 UDP 127.0.0.1:1026& nbsp; *:* &nbs p; 1380 UDP 127.0.0.1:18001 *:* &nb sp; 540 UDP 127.0.0.1:18002 *:* &nb sp; 540 pid 4=system,540=WebProxy Panda,636=lsass,944=svchost,1380=MiIE,1928=Srvload Panda 3)ProcessExplorer в свойствах system Ничего особого крома Microsoft-овских системных ntoskrnl,NtApm.sys и вполне нормальных нескольких файлов например,PAVDRV51.SYS-Панда ,не показывает... 4)Смущает такая запись Token NT AUTHORITY\АНОНИМНЫЙ ВХОД-тут мне неясно,или учетная запись моя "сбойнула" т.к. reset5 отсуствует(а раньше висел процесс.И запись в событиях Системы:Сбой при запуске службы "Reset 5" из-за ошибки Не удается найти указанный файл. ),а активации система не просит... Или кто-то вот так и вошел в систему... И еще: Аудит успехов: Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: MyName Исходная рабочая станция: MYHOMECOMP Код ошибки: 0x0 (Пользователь-System,а не я почему-то).А дальше: Успешный вход в систему: Пользователь: ; MyName Домен: MYHOME COMP Код входа: (0x0,0xAFD5) Тип входа: 2 Процесс входа: User32 Пакет проверки: Negotiate Рабочая станция: MYHOMECOMP Код GUID: {00000000-0000-0000-0000- 000000000000}% уже от моего имени.А сразу за этим: Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему. Пользователь System Процесс входа в систему: LAN Manager Workstation Service Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему. Процесс входа в систему: KSecDD Пользователь System Успешный сетевой вход в систему: Пользователь: ; Домен: Код входа: (0x0,0x1376B) Тип входа: 3 Процесс входа: NtLmSsp Пакет проверки: NTLM Рабочая станция: &nbs p; Код GUID: {00000000-0000-0000-0000- 000000000000}% Пользователь Анонимный Изменение политики Службы IPSEC: Службам IPSEC не удалось получить полный список интерфейсов сети для данного компьютера. Это может послужить потенциальной угрозой безопасности данных на компьютере, в то время как некоторые интерфейсы сети могут не получить желаемой защиты данных, используя фильтры IPSEC. Чтобы диагностировать проблему, запустите монитор IPSEC. Пользователь-Network Service 5) И что такое "троян нулевого ринга" и как с ним бороться? |
|
|
|
|
|
03.03.2005 07:49:22
И что такое "троян нулевого ринга" и как с ним бороться?
Как то в ХАКЕРе писали... троянчика ты теперь скорее всего не удалишь так как он находиться в нулевом кольце - а значит у него повышенные привелегии |
|
|
|
|
|
03.03.2005 10:21:57
Попробуйте positive Technoligies Startup Monitor, она показывает практически всё, возможно что нить и удастся выловить. Хотя если нулевое кольцо то это грузиться до всего, но попробовать стои.
Мне интересно, так что если возможно скиньте сюда результаты. |
|
|
|
|
|
03.03.2005 22:25:20
Как то в ХАКЕРе писали... троянчика ты теперь скорее всего не удалишь так как он находиться в нулевом кольце - а значит у него повышенные привелегии
нулевое кольцо это где?? поподробней про это мона? |
|
|
|
|
|
04.03.2005 13:35:26
Никогда бы этому не позавидовал. Убить такую дрянь очень тяжело, хотя наверное даже невозможно, только переустановка системы поможет. Только тут не нулевого уровня, так как фаерволлы их не видят. Ring0 (нулевое кольцо) в винде-это уровень абсолютных привилегий, на котором работает ядро и драйвера. Тут ты можешь всё. Однако внедрится в него не просто, есть конечно публичный способ, но использовать его хакерам очень не нравится, потому что трояну приходитьтся таскать с собой бинарник драйвера. Про это можно много рассказывать. Спастись от таких троянов можно только тем, что не сидеть под АДМИНИСТРАТОРОМ. Ещё здесь промелькивал пост о том, что машина постоянно рвётся на слать что-то. Так вот! Твоя машина скорее всего стала "зомби". |
|||
|
|
|
|
05.03.2005 14:17:26
Да уж ))... насколько я знаю написать такой троян "неимоверно" трудно! Можно конечно использовать бинарники драйверов.. иначе человек написавший еще и минидрайвера стоит в пол шаге от "собственной" операционки которая перехватывает управление! Многие тут скажут проще простого....А ВОТ И ФИК.... не говоря уж о том что размер всего этого ассемблерного кода будет очень большим! Конечно есть "псевдо варианты" с внедрением кода в запущенный процесс когда к примеру сетевые функции(вызываются от имени другого процесса об этом писали на багтраке(иньекция dll, об этом в кратце говорил houseofdabus, чуток было на сайте z0mbie) . Можно почитать немного на LSP) , можно поинтересоваться NDIS-дровами, сравнить побайтно все файлы относящиеся к TCP-стэку... а воообщим фик его знает чиго еще
 ! Тот кто "ползет в одном направлении" может уползти туда где "не ступала нога человека"!Про ринг 0: тут какого то единого мнения не существует , одни называют этим саму систему "вытесняющей" многозадачности виндоуза, другие говорят об уровне привилегий, то есть об системе без какой либо авторизации(покуда в процессор не внедрили машинные команды с авторизацией)А как бороться.... снять винт засунуть уего в Bafo(usb drive) и "изучать"! Метод сравнения и метод удаления не нужного можут многое! Хотя мне так же как и вам любопытственно  Ведь это была ШУТКА про троян нулевого кольца, ведь если бы он имелся в действительности то "со 100%-й уверенностью можно сказать" что АУТПОСТ БЫ его НЕ ВИДЕЛ!!!!!!... его бы могли "различать" на диске лишь антивирусы НО ПРИ ОДНОМ НЕВЕРОЯТНОМ УСЛОВИИ "зная его в лицо и зная методы его контроля файловой системы"! Если Морисовский ворм наделал столько шума, то полноценный троян нулевого уровня будет просто сенсацией! Незаметно подменить операционку юзеру и поставить мастдай в режим апликации.... могут лишь фантасты и гении! |
|
|
|
|
|
05.03.2005 18:49:10
Отчитываюсь о проделанной работе
1)Technoligies Startup Monitor запускал,но явной гадости не увидел,а в дебрях заблудился,ибо системные процессы "в лицо" не знаю...долгая история 2)Я заклонировал системный раздел (благо он у меня всего 3 ГБ)для дальнейших "следственных действий",если руки дойдут-очень уж меня эта ситуация заела...А пока залил "с нуля" WinXP SP2.. Большинство софта уже стоит,осталось еще немного... 3)Мне кажется,что ключевым в этой истории является то,что в диспетчере задач все процессы запускались от анонимного пользователя.Я зарезервировал winlogon-он по размеру отличается от родного,я это связывал с "активацией" народными средствами,но,видимо,не в ней дело...В системе был обнаружен файл winit(мог быть использован для зачистки следов после установки трояна) c текстом : NUL=C:\WINDOWS\TEMP\gert0.dll-что за зверь не знаю,может вполне нормальный,а может и нет.Самого файла,понятное дело,на компе не нашел. 4)Если у кого-то есть идеи-поделитесь.Хочется разобраться.Как оказалось,просто "в лоб" проблему решить не удалось(при помощи Outpost,Ad-Aware,SpyBot S&D,PestPatrol,Panda Antivirus,HiJackThis) |
|
|
|
|
|
06.03.2005 17:33:12
на 29а было ИМЕНО чтото об иньекциях в Winlogon! (Так что похоже на "дубль 2")
 так что направление я думаю верное, копать нада под винлогон и всю его семейку Длл-лей! Осталось разобраться как Winlogon использует сетевые ресурсы System! |
|
|
|
|
|
11.03.2005 13:52:06
Вот тут HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Paramete
нашел параметры: NullSessionPipesCOMNAP COMNODESQL\QUERY SPOOLSS LLSRPC browser NullSessionShares COMCFGDFS$ ServiceDll %SystemRoot%\System32\srvsvc.dll Может убить эти NulSession ? Это при том,что шары,какие мог отключил (кроме IPC$)и RestrictAnonimus=1 Настораживает запись №6 в Просмотре Событий.Происходит в момент загрузки компа(в первые 10-15 секунд).Нормально ли это,когда 1) Успешный вход в систему: Пользователь: ; MyName Домен: MYHOMECOMP Код входа: (0x0,0xAB9B) Тип входа: 2 Процесс входа: User32 Пакет проверки: Negotiate Рабочая станция: MYHOMECOMP Код GUID: {00000000-0000-0000-0000- 000000000000}% 2) Присвоение специальных прав для нового сеанса входа: Пользователь: ; Домен: Код входа: (0x0,0xAB9B) Привилегии: & nbsp; SeChangeNotifyPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege 3) Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему. Процесс входа в систему: LAN Manager Workstation Service 4) Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему. Процесс входа в систему: KSecDD 5) Политика аудита на пользователя обновлена. Количество элементов: 0 ID политики: (0x0,0x10C4D) 6) Успешный сетевой вход в систему: Пользователь: ; Домен: Код входа: (0x0,0x1101F) Тип входа: 3 Процесс входа: NtLmSsp Пакет проверки: NTLM Рабочая станция: Код GUID: {00000000-0000-0000-0000- 000000000000}% Причем пользователь указан NT AUTHORITY\АНОНИМНЫЙ ВХОД А в службах Поставщик поддержки безопасности NT LM запускается от системной учетной записи,стоит запуск вручную,и в списке работающих служба не значится(смотрел при помощи net start) И еще постоянно при запуске"сбоит" Outpost,приходится перезапускать вручную(при перезапуске он как-то криво стартует-блокирует весь траффик): Служба Outpost Firewall Service была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезапуск службы Есть ощущение,что что-то "не то",но что-не пойму.. |
|
|
|
|
|
26.08.2008 15:30:27
Backdoor.Win32.RAdmin.t
Rootkit: Нет Видимые проявления: Посторонние службы Прослушивание порта 2106/TCP Посторонний исполняемый файл WINDOWS\AppPatch\svchost.exe Backdoor программа, размер 346 кб, иконка похожа на иконки изображений JPEG формата для введения пользователя в заблуждение. В случае запуска скрытно выполняет следующие операции: 1. Извлекает в папку TEMP файл gert0.dll и загружает его 2. Создает в папке TEMP файл \ci0-temp\setup.set 3. Создает файл WINDOWS\AppPatch\rpc.sdb и запускает его 4. Удаляет файлы созданные в папке TEMP файлы \ci0-temp\setup.set и gert0.dll Файл WINDOWS\AppPatch\rpc.sdb в свою очередь скрытно выполняет следующие операции: 1. Создает WINDOWS\AppPatch\svchost.exe,WINDOWS\AppPatch\AdmDll.dll, WINDOWS\AppPatch\raddrv.dll 2. Создает WINDOWS\system32\svchost.reg, после чего запускает системныю программу WINDOWS\regedit.exe с параметрами «/s svchost.reg», что приводит к импорту содержимого svchost.reg в реестр 3. Запускает «WINDOWS\AppPatch\svchost.exe /start» Импорт файла svchost.reg приводит к следующим последствиям: 1. В реестре создается ключ HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin и в него импортируются настройки программы удаленного управления Remote Admin, подготовленные злоумышленником. В частности, задается порт и запрещается отображение иконки RA в трее 2. Регистрируется служба svchostrun (исполняемый файл %SystemRoot%\AppPatch\rpc.sdb) и svchostdll (исполняемый файл %SystemRoot%\AppPatch\svchost.exe /service). Для маскировки службам даются «системные» имена – «Security Support Provider» и «System Backup Service» 3. Блокирует службу «Брандмауэр Windows/Общий доступ к Интернету (ICS)», переключая ее тип запуска на «4» (отключен) 4. Уничтожает ключи реестра, принадлежащие антивирусным программам и Firewall, в частности: 4.1 Удаляет службы и драйверы wg3n, WPSDRVNT, Symantec AntiVirus, VFILT, OutpostFirewall, Klif, Klpf, Klpid, Symantec Core LC 4.2 Удаляет ключи реестра: HKLM\SOFTWARE\Panda HKLM\SOFTWARE\Agnitum HKLM\SOFTWARE\WRQ HKLM\SOFTWARE\Zone Labs HKCU\Software\Zone Labs 4.3 Удаляет элементы автозапуска: “Outpost Firewall" "Zone Labs Client" "iamapp" "vptray" Скрытно установленные компоненты AdmDll.dll, raddrv.dll и svchost.exe – это утилита удаленного управления Remote Admin версии 2 в чистом виде, а rpc.sdb – это троянский инсталлятор, задачей которого является установка этих компонент, их настройка и борьба с защитным ПО при помощи описанного выше REG файла. Скрытно установленный таким троянским методом Remote Admin позволяет злоумышленнику получить полный контроль над пораженным компьютером, причем антивирусы не будут находить на пораженном компьютере троянских и Backdoor программ – в данной ситуации в качестве Backdoor выступает скрытно установленный Remote Admin. Поиск Remote Admin в данном случае усложняется тем, что у него в настройке задан нестандартный порт для обмена по сети – 2106/TCP. у меня такая же проблема, только вот как его удалить пока непонятно(( Кто нибудь помогите!
Изменено: andre344 - 26.08.2008 15:32:39
|
|
|
|
|
|
28.08.2008 18:51:46
p.s.1 читаем - что написано выше - где и чего добавляеться, и руками удаляем. p.s.2 а вот если слабо во всем этмо разбираетесь, ищем кто друзей за бутылку пива, решит все ваши проблемы за 15 минут. p.s.3 - так же могу предлодить удаленно рещить проблему с вашей проблемой, - для этого вам нужно иметь реальный ай пи, и поставитьь на пк - что нибуть типа радмина, и написать - в приват ( если есть такое желание), глянуем, что у вас на пк твориться, и решим вашу проблему. |
||||
|
|
|
|||