Поймал вирус, возможно руткит

[AntX]

Вчера (11.08.2010) после включения компьютера я открыл Оперу с несколькими вкладками. Почти сразу после этого появилось окно загрузки платформы Java и быстро промелькнуло какое-то окно. Похоже, что на каком-то из открытых мной сайтов находился эксплоит, использующий уязвимости Java. При этом пропал значок Антивируса Касперского (который был запущен) в трее. При попытке заново запустить антивирус ничего не произошло (avp.exe даже не появляется в диспетчере задач, по-видимому, вирус его мгновенно убивает). Пытался восстановить его, ничего не изменилось. После этого я скачал Dr.Web Cureit, отключил интернет и поставил проверку компьютера. Затем я отошел минут на 10, а когда пришел, обнаружил, что компьютер перезагрузился (при этом компьютер подключен через ИБП, возможность перезагрузки из-за скачка напряжения исключена). Я загрузил вдобавок к Cureit утилиту AVPTool, загрузился в безопасном режиме и проверил систему. Ни один антивирус ничего не нашел. Затем я загрузил компьютер в обычном режиме и проверил его при помощи AVZ, обновив предварительно базы. Вначале ничего кроме одной подозрительной dll (H:\Windows\system32\tgzcpre.dll) и кучи перехваченных функций (которые были и до этого) он не обнаружил. Затем я установил драйвер расширенного мониторинга процессов, перезагрузил компьютер и проверил его еще раз. AVZ обнаружил множество маскированных процессов, все с таким описанием: Маскировка процесса с PID=356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 356). Интересно, что GMER при этом ничего опасного не нашел. Сегодня я сделал все необходимые логи и прошу вас о помощи в излечении компьютера. Извините, что так много написал, постарался изложить все, что может быть важным. Заранее спасибо за ответ.
P.S. Отчет о проверке файла tgzcpre.dll на virustotal.com.

[Rene-gad]

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('MEMSWEEP2');
 DeleteService('MEMSWEEP2');
 BC_DeleteSvc('MEMSWEEP2');
 QuarantineFile('H:\Windows\system32\5715.tmp','');
 QuarantineFile('H:\Windows\system32\tgzcpre.dll','');
 DeleteFile('H:\Windows\system32\5715.tmp');
 DeleteFileMask('H:\Windows\system32\','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Ссылка на Вирустотал битая.

[AntX]

При попытке выполнения скрипта после выполнения пункта проверки 1.1 и начала 1.2 (поиск перхватчиков API, работающих в KernelMode) AVZ вылетает с ошибкой: Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.34.0.0
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449.
Перезагрузил компьютер, попробовал заново - то же самое. Попробовать запустить его в безопасном режиме?

[Rene-gad]

При попытке выполнения скрипта после выполнения пункта проверки 1.1 и начала 1.2 (поиск перхватчиков API, работающих в KernelMode) AVZ вылетает с ошибкой

Вы АВЗ от имени администратора запускаете?

[AntX]

Да.

[Rene-gad]

- Сделайте лог полного сканирования MBAM.

[AntX]

Сделал лог. Ошибка возникает именно из-за поиска руткитов, т.к. скрипт

Код:

begin
SearchRootkit(true, true);
end.

завершается с той же ошибкой. Диск, на котором стоит система - H. На C стоит XP SP3, которой я уже давно не пользуюсь.

[thyrex]

Удалите в МВАМ

Код:

Зараженные файлы:
C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\BGf0ih8Gmb.log (Backdoor.Gootkit) -> No action taken.
C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\cM7j1bgMFg.log (Backdoor.Gootkit) -> No action taken.
C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\d0KM8Il76d.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\BGf0ih8Gmb.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\BgmCDkb8e1.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\cM7j1bgMFg.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\d0KM8Il76d.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\dAmLDcHnGH.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\kH71j6cH8c.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\lihg7kdi1d.log (Backdoor.Gootkit) -> No action taken.
H:\Windows\System32\hosts (Trojan.Agent) -> No action taken.

[AntX]

Спасибо, уже удалил, но файлы на диске C не представляют угрозы, а в файл hosts в папке system32 были дописаны пара строчек (не этим вирусом), отредактировал все как по умолчанию. После того, как AVZ деактивировал все руткиты, подозреваемая dll-ка была убрана из автозапуска, все упоминания о ней в реестре стерты, а антивирус переустановлен, удалось запустить KIS 2011. После обновления баз просканировал критические объекты и обнаружил, что эта dll (tgzcpre.dll), которая еще вчера детектировалась только одним антивирусом (Microsoft), а сегодня утром двумя (добавилась Panda) получила классификацию Trojan-Spy.Win32.Small.ckv. После процедуры лечения и перезагрузки компьютера проверил на максимальном уровне анализа весь системный диск и обнаружил в кеше Оперы пару десятков модификаций Exploit.Java.Agent.a, так что, мое предположение, как вирус попал на компьютер, скорее всего, оказалось правильным. Но интересно другое: после процедуры лечения и полной проверки касперским AVZ все равно продолжает находить множество маскированных процессов (описание: Маскировка процесса с PID=356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 356). Gmer, Process Explorer и руткит-сканеры KIS'а и Dr.Web'а при этом ничего не обнаружили. Не уверен, что эти процессы связаны с пойманным вирусом, но где-то две недели назад, когда я последний раз сканировал систему при помощи AVZ, их не было. Да, и теперь AVZ не вылетает с ошибкой при попытке выполнения скрипта.
P.S. Столько видел тестов и отзывов о "неубиваемости" касперского, а тут оказалось, что вируса, проникшего при помощи эксплоита, достаточно, чтобы полностью отключить и деактивировать включенный KIS с опцией самозащиты.

[Rene-gad]

AVZ все равно продолжает находить множество маскированных процессов (описание: Маскировка процесса с PID=356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 356).

Это нормально.

оказалось, что вируса, проникшего при помощи эксплоита, достаточно, чтобы полностью отключить и деактивировать включенный KIS с опцией самозащиты.

2 вопроса к Вам:
1. Вы работаете в учётке с правами администратора?
2. Доступ к Установкам КИС защищён паролем?

[AntX]

1. Да, но под Windows 7.
2. Да, защищен.
А эти маскированные процессы что-нибудь значат? Не зря же AVZ их находит и выделяет красным цветом.

[thyrex]

А эти маскированные процессы что-нибудь значат?

На Windows 7 и Vista такие маскировки в порядке вещей

[AntX]

Возможно, я сканировал другой версией AVZ, но пару недель назад такого не было. Поэтому это и показалось мне странным. Всем спасибо, думаю, тему можно считать решенной. Я проверил систему еще раз всем, чем можно, ничего подозрительного кроме этих процессов не обнаружил.