Rabican Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 Καλησπερα. εχω ενα προβληματακι με το ανωθεν worm/virus το οποιο εχει επεκταθει σε ολο το δικτυο του οργανισμου που ειμαι (καμμια 300αρα PC). εχω δοκιμασει και το update patch των windows που εχει βγαλει η MS ειδικα γιαυτο το worm, αλλα και ενα exe αρχειο της Norton παλι ειδικα για το συγκεκριμενο προβλημα. απο τα PC τα μισα εχουν το Symantec EndPoint Protection και τα αλλα μισα ενα Corporate Edition της Symantec (εκδοση 9 η 10). το προβλημα μου δεν ειναι αυτο καθευτο το worm, το οποιο οποτε σκαει στα PC εντοπιζεται και γινεται delete, αλλα το πως γινεται spread. συνεχως τα clients το βρισκουν και το σβηνουν ομως δεν μπορω να περιορισω την εξαπλωση.. δοκιμασα να ξηλωνω τα PC απο το δικτυο να τα patchaαρω και να τα ξαναριχνω στο δικτυο αλλα μια τρουπα στο νερο... καμμια ιδεα? ειμαι ανοιχτος σε οποιαδηποτε προταση..!
DDoS Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 φιλε μου συγνωμη, αλλα μηχανογραφο αυτη η εταιρεια με τα 300 pcs δεν εχει? Εχετε ανοιχτο το νετ και τα usb σε ολους ετσι? καλο format............ για τα 300 θες περιπου 200 μερουλες
Rabican Δημοσ. 5 Ιανουαρίου 2010 Μέλος Δημοσ. 5 Ιανουαρίου 2010 αυτο ειναι αλλουνου παπα ευαγγελιο! ας πουμε οτι "πρεπει" να βρω μια λυση στο προβλημα. ας πουμε οτι εγω ειμαι εδω και λιγες μερες ο μηχανογραφος... πρεπει να βρω ενα τροπο να περιορισω το spread του worm. τοπικα οποτε εντοπιζεται γινεται clean.
the_eye Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 Έχεις μαζί με το worm και κάποιον downloader που κατεβάζει συνέχεια το worm. Firewall στον router έχεις ;
Rabican Δημοσ. 5 Ιανουαρίου 2010 Μέλος Δημοσ. 5 Ιανουαρίου 2010 υπαρχει ενα Softwarικο Firewall (ενα CheckPoint) που τρεχει σε εναν Server και ενα PIX Firewall.. αυτον τον downloader πως μπορω να τον εντοπισω? να δω απο που το κατεβαζει συνεχεια? νομιζω πως αν ειναι οπως το περιγραφεις και μπορουσα με καποιο τροπο να βρω την ΙΡ απο οπου ερχεται θα ηταν ενα σημαντικο βημα.
DDoS Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 υπαρχει ενα Softwarικο Firewall (ενα CheckPoint) που τρεχει σε εναν Server και ενα PIX Firewall.. αυτον τον downloader πως μπορω να τον εντοπισω? να δω απο που το κατεβαζει συνεχεια? νομιζω πως αν ειναι οπως το περιγραφεις και μπορουσα με καποιο τροπο να βρω την ΙΡ απο οπου ερχεται θα ηταν ενα σημαντικο βημα. Δε λεει κατι γιατι το πιθανοτερο ειναι να ειναι dynamic. Μονο μαλακας θα σου εστελνε απο στατικ. Συνηθως ολοι αυτοι οι τυποι χρησιμοποιουν το steganos και αλλαζουν συνεχεια ip's. Μαζι με το .exe πιθανο να τρεχει και service για να το δημιουργει. ψαξου στο νετ σε αυτους που το βρηκαν να βρεις πως λεγετε το αρχειο που ψαχνεις. Απο e-mail τον ηπιες
Rabican Δημοσ. 5 Ιανουαρίου 2010 Μέλος Δημοσ. 5 Ιανουαρίου 2010 παιζει να ειναι και απο email. δεν μπορω να ξερω. εγω απλα βρηκα μια "κατασταση" οπου σε πολλα PC χτυπαει αυτο το worm. το θεμα ειναι ερχεται απ εξω (δηλαδη το downloader το κατεβαζει συνεχως απο καπου) η ειναι κρυμενο σε καποιο PC και συνεχεια κανει copy τον εαυτο του σε αλλα PC? γιατι ξερω πως το αρχειο αυτο γινεται spread μεσω του sharing στα folders των PC. και μια παρατηρηση: σε καθε PC το αρχειο ονομαζεται διαφορετικα. ειναι παντα στo System32 αλλα με διαφορετικο ονομα σε καθε PC.
DDoS Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 φιλε τον εχεις πιει............... χαλαρα. ---------- Το μήνυμα προστέθηκε στις 12:29 ---------- Λοιπον βρηκα λιγο χρονο μηπως και σε βοηθησω. το 99% ειναι να το εχεις κολλησει στο server σου. και επειδη ενεργει στο tcp/ip.sys Αρχειο, το δικτυο σου θα ειναι για κλαματα. θα το καταλαβεις γιατι δε θα σου κανει update και θα γκρινιαζουν ολοι οτι πανε αργα a) start>run>services.msc και βρες το service που τρεχει, θα το καταλαβεις απο το ονομα του( οτι ναναι), το ιδιο και απο msconfig. Αν δε το βρεις δες στα services, στο RPC locator> recovery, το ρεσταρτ καντο no-action και δες μηπως τρεχει η υπηρεσια απο εκει (run this program), αν ειναι ετσι το βρηκες ευκολα. β) Αφου κλεισεις την υπηρεσια (υποτιθεται οτι την εχουμε βρει απο πριν) κανεις disable το system restore και αφου εχεις κατεβασει αυτο το hotfix kai to malwarebytes (free..... πιθανο να χρειαστεις να τα μετονομασεις και τα 2 αν δε σε αφηνει να τα τρεξεις) κανεις ρεσταρτ και scan σε safe mode με το malware (οπωσδηποτε update πριν). γ) ποσταρε ενα hijackthis log αρχειο μηπως το σκοτωσουμε στα γρηγορα πριν κανεις ολα τα ανωτερω. δ) Αν χρειαστει να κανεις τα ανωτερω, πρεπει να τα κανεις με τη σειρα που στα γραφω, αλλιως θα χασεις τσαμπα το χρονο σου φιλε μου. Αν βρεις την υπηρεσια σε ενα pc.............. τα αλλα θα ειναι πιο ευκολα
Rabican Δημοσ. 5 Ιανουαρίου 2010 Μέλος Δημοσ. 5 Ιανουαρίου 2010 κατ αρχας ευχαριστω για το ενδιαφερον. ιδου το logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:53:35 μμ, on 5/1/2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18828) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe C:\Windows\system32\conime.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Taskmgr.exe C:\Windows\system32\mmc.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\http://www.google.gr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\http://www.google.gr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=el_gr&c=91&bd=all&pf=cmdt R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer provided by XXXXX R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = isasrv:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [setRefresh] C:\Program Files\HP\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.gr O17 - HKLM\Software\..\Telephony: DomainName = xxxx.gr O17 - HKLM\System\CCS\Services\Tcpip\..\{0179C61A-763A-43B3-84B2-66F0081C09B9}: Domain = xxxx.gr O17 - HKLM\System\CCS\Services\Tcpip\..\{0179C61A-763A-43B3-84B2-66F0081C09B9}: NameServer = 192.168.2.26,192.168.2.27 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxx.gr O17 - HKLM\System\CS1\Services\Tcpip\..\{0179C61A-763A-43B3-84B2-66F0081C09B9}: Domain = xxxx.gr O17 - HKLM\System\CS1\Services\Tcpip\..\{0179C61A-763A-43B3-84B2-66F0081C09B9}: NameServer = 192.168.2.26,192.168.2.27 O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe -- End of file - 6238 bytes
Anubis13 Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 Εκτός των παραπάνω κατέβασε την σουίτα της sysinternals και τρέξε τον ProcessExplorer..Πες μας(η βγαλε screenshot) αν βλέπεις κάποιο περίεργο process..Αν το βρεις μέσω του process explorer μποροούμε να δούμε από ποια handles τρέχει...
DDoS Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = isasrv:8080 (συνδεεσαι στο ιντερνετ μεσω proxy? Αν οχι=deleted) O1 - Hosts: ::1 localhost (προφανως με αυτο βγαινει εξω=deleted οπωσδηποτε) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)=(deleted) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (αυτο δε χρειαζεται=(deleted) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" (αυτο δε χρειαζεται=(deleted) O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" (αυτο δε χρειαζεται=(deleted) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll (αυτο δε χρειαζεται=(deleted) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxx.gr (ολα αυτα ειναι το δικο σου domain?) α) θα εσβηνα ολα αυτα β) θα εψαχνα συκγεκριμενα για το αρχειο b.exe και θα το εσβηνα και απο το system restore γ) θα εκανα ολα αυτα που σου εγραψα πιο πανω πριν κανω restart se safe και σκαναρω με το mbam εδιτ d) τωρα που ειδα και τις υπηρεσιες που τρεχεις μαλλον το ξανακολλας απο το system restore αν και δε θα εχανες τιποτα να τις δεις και στα services
the_eye Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 Βάλε στο firewall να απορρίπτει οποιαδήποτε εισερχόμενη σύνδεση από το internet. Εκτός αν έχεις κάποια υπηρεσία πχ vpn. Βάλε firewall στον server και επέτρεψε να βλέπουν οι υπολογιστές στο δίκτυό σου μόνο τις υπηρεσίες που χρειάζεται. Αν έχεις κοινή χρήση στα μηχανήματα απενεργοποίησέ την. Κράτα μόνο ότι χρειάζεται. Κλείσε το switch και βεβαιώσου ότι κανένα pc δεν έχει δίκτυο. Τότε τρέξε το patch και το repair που έχεις κατεβάσει. Το repair φρόντισε να είναι τουλάχιστο από 2 εταιρίες πχ norton και bitdefender. Το repair να το πας από pc σε pc με stickάκι που θα το κάνεις read only (κάποια έχουν). Κάνε reboot. Αν έχει μολύνει τον server σου πας για format. Καλό είναι τα pc του δικτύου να μην έχουν δικαιώματα υπερχρήστη και όλα να έχουν κωδικό. Ακόμα καλύτερα να τα βάλεις σε DOMAIN. Δες εδώ τι έχεις κολλήσει (Ζόρικο). http://www.symantec.com/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=2
Anubis13 Δημοσ. 5 Ιανουαρίου 2010 Δημοσ. 5 Ιανουαρίου 2010 Το pc αυτό είναι καθαρό η έχει το worm? Διότι όλα τα processes μου φαίνονται οκ εκτός αν έχει πάρει access από το svchost..Πάντως από ότι διαβάζω θα πρέπει να υπάρχει τουλάχιστον process στο μολυσμένο pc.. Ελεγξε σε κάθε svchost τα ddl που το τρέχουν και τα services με διπλό κλικ
Rabican Δημοσ. 5 Ιανουαρίου 2010 Μέλος Δημοσ. 5 Ιανουαρίου 2010 οντως βγαινω με proxy, αρα το πρωτο το κραταω. τα υπολοιπα τα "σκοτωσα"... τα ρεστα ειναι στο δικο μου domain ολα.. το PC αυτο ειναι καθαρο, εως οτου .... ξαναβρωμισει! αυτη η δουλεια γινεται εδω και 4-5 μηνες. απο τα dll πως καταλαβαινω αν υπαρχει καποιο υποπτο? τα πηρα ενα ενα με τη σειρα οπως ειπες ανουβις13!
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.