Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Подозрение на руткит (заявка № 111404)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19

    Подозрение на руткит

    Здравствуйте! Прошу помощи по обнаружению и ликвидации вредоносной программы.

    После инфицирования был отформатирован системный диск, переустановлена ОС и осуществлена полная проверка системы антивирусными утилитами NOD32, Dr.Web, AVPTool и AVZ. Антивирусы угроз не видят, лишь AVZ в режиме Anti-RootKit (Kernel-Mode) пишет красным цветом две строчки: "CmpCallCallBacks = 00145A9F" и "Disable callback OK", но угроз не находит.

    Однако, после установки драйверов и прочего ПО появляется масса разнообразных симптомов: исчезает подключение к сети, программы не запускаются ("нет прав доступа"), иконки меняют местоположение, в адресной строке браузера и в открытом текстовом редакторе появляются длинные строки "test" и "еуые", исчезает панель задач и прочее. После этого AVZ перечисляет много подозрительных файлов и процессов, но в конце пишет, что подозрений - 0, вредоносных программ - 0. Через некоторое время появляются сообщения об отсутствии системных файлов, а после этого - "синий экран смерти". Ситуация повторяется после каждой переустановки ОС.

    Очень надеюсь на вашу помощь и заранее благодарю за внимание.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Disponsator, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Disponsator Посмотреть сообщение
    в открытом текстовом редакторе появляются длинные строки "test" и "еуые"
    Это AVZ ловит кейлоггеры на живца.

    Ничего подозрительного в логах не вижу.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Странно. За полчаса до отправки сообщения я делал полную проверку с помощью AVZ (со вчерашними базами), и треть лога пестрела красным. Вот, например, характеристика, которую AVZ выдал файлу видеодрайвера "ati2evxx.exe":
    Код:
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    [ES]:С высокой степенью вероятности может бороться с антивирусами
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Таких файлов и процессов он обнаружил с полтора десятка. Сейчас, после обновления, ничего не видит.
    Подскажите, пожалуйста, можно ли как-то удостовериться, что AVZ не обманут зловредом? Фраза "может бороться с антивирусами" настораживает.
    И что на счет этих двух строк: "CmpCallCallBacks = 00145A9F" и "Disable callback OK". Их до инфицирования не было (я делаю регулярную проверку).

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Вам ответили, что ничего плохого в логах нет. Не нужно быть таким подозрительным
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вам ответили, что ничего плохого в логах нет. Не нужно быть таким подозрительным
    Вы меня не поняли. Зараженные файлы никуда не делись: ни AVZ, ни я сам никаких действий к ним не применяли. Просто утилита их видит не всегда и не все.

    Извините, если я вас оскорбил своей подозрительностью. Тяжело быть неподозрительным после трех дней борьбы с вирусом, который доводит систему до синего экрана за 40 минут с момента установки, при этом оставаясь незамеченным ведущими антивирусными утилитами. Я могу отправить вам в архиве те исполняемые файлы, которые появляются на диске С у меня на глазах, но остаются незамеченными всеми вышеперечисленными антивирусами.

    Прямо сейчас у меня вылетел с ошибкой Explorer, и самозакрылся AVZ. Думается, что фраза "С высокой степенью вероятности может бороться с антивирусами" была написана программой не просто так.

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Только что в безопасном режиме AVZ писал: "Опасно! Обнаружена маскировка процессов", и выдал два десятка строчек о нейтрализации кода руткита. Также нашел пару exe-файлов из тех, что возникли в папке Windows (их там больше, но он не видит). Прикрепляю новые логи.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. thyrex получил(а) благодарность за это сообщение от


  11. #9
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Какая хорошая вещь! Радостно наконец лицезреть своих обидчиков. Хотя немного грешит на генераторы ключей.
    Вложения Вложения

  12. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Удалите в МВАМ только указанные ниже записи
    Код:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Backdoor.Bot) -> Value: Tnaww -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent.MSGen) -> Value: Microsoft Driver Setup -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Backdoor.Bot) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
    
    Зараженные папки:
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Зараженные файлы:
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Backdoor.Bot) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    Добавлено через 53 секунды

    Установите все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Последний раз редактировалось thyrex; 21.10.2011 в 23:23. Причина: Добавлено
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. thyrex получил(а) благодарность за это сообщение от


  14. #11
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Установка IE8 была ошибочным ходом. Запустить его толком не удалось (вирус быстро блокирует его работу), а времени на попытку обновить компоненты Windows было потрачено много (опять-таки вирус повинен в замедлении скорости). За это время на системный диск установилось еще много вредоносного, после чего аккуратно закрылись все активные приложения, исчез рабочий стол и панель задач. Я перезагрузил систему в безопасном режиме, сделал полную проверку с помощью MBAM, внимательно изучил, а потом удалил те объекты, которые он счел инфицированными. Оставил как есть генераторы ключей (давно лежат, угрозы не представляют) и файлы реестра с маркировкой PUM. В последнем не уверен. Что такое PUM? Нежелательные модификации системы?

    В остальном, все выглядит спокойно.
    Вложения Вложения

  15. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    PUM - потенциально нежелательные модификации системы

    Все Ваши проблемы были из-за дыр в системе по причине отсутствия обновлений. Потому, пока Вы их скачивали, к Вам успело налезть новой заразы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #13
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Я думаю, что обновления не имеют значения конкретно в этом случае. Сегодня утром вся описанная выше ситуация повторилась. Пришлось повторить процесс проверки и удаления в MBAM, но, поскольку уже очевидно, что это не панацея, то я сам проверил поочередно все подпапки "Documents and Settings". Нашел то, что не заметил MBAM и все вышеперечисленные. По папкам были разбросаны номерные exe-файлы такого же вида, что и удаленные вчера с помощью AVZ, но с дополнительной цифрой в скобках: 50[1].exe, 51[1].exe, 52[1].exe и подобные.
    Похоже на копии. Располагались тут:
    Код:
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
    C:\Documents and Settings\LocalService
    Не понимаю одного: диск C был отформатирован, а D - чист; другие носители я временно не использовал; так откуда же эта зараз берется? Или я цепляю ее при посещении какого-то ресурса... Но за последние дни я меньше времени провел в интернете, чем за переустановкой системы, да и посещаемые сайты проверены временем. Тупик какой-то...

    Думаю, в пределах дня будет ясно, помогло ли ручное удаление "хвостов".

  17. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Значит не все обновления установлены
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #15
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Понимаете, мне важно удалить загрузчик, а не просто блокировать его деятельность. Поэтому обновления ОС меня не очень интересуют (ради формальности я установил все три пакета, которые мне предложил оф.сайт, но это ни на что не повлияло).
    В соседней теме увидел похожую проблему, и там же - рекомендацию использовать GMER. Сейчас проверяю.

  19. #16
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Вот он!
    Код:
    Malicious Win32:MBRoot code @ sector 61
    Подскажите, пожалуйста, как удалить?
    Вложения Вложения

  20. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Попробуйте TDSSKiller.
    I am not young enough to know everything...

  21. #18
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    TDSSKiller не видит его.

  22. #19

  23. #20
    Junior Member Репутация
    Регистрация
    19.10.2011
    Сообщений
    17
    Вес репутации
    19
    Прилагаю лог TDSSKiller.
    И еще лог MBR Check.
    Еще проверял с помощью Trend Micro Rootkit Buster, там лог вообще простой: "No hidden files/registry/processes/drivers found."

    TDSSKiller, запущенный с ключем –l, почему-то дал сокращенный лог. Если необходимо, я приложу полный (оказалось, что сокращенный сохраняется в папке утилиты, а полный - в корне диска C). Но там все "OK", как он считает.
    Вложения Вложения
    Последний раз редактировалось Disponsator; 24.10.2011 в 21:27. Причина: сокращенный лог

  • Уважаемый(ая) Disponsator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на руткит
      От sazmir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.12.2011, 14:02
    2. Подозрение на руткит
      От loser3000 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.07.2010, 11:45
    3. Подозрение на руткит
      От Caterpillar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 15:25
    4. Подозрение на руткит
      От TJDimas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.04.2010, 06:04
    5. Подозрение на руткит
      От Hazard163 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.12.2008, 23:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00797 seconds with 23 queries