Злобные руткиты
Блокируют AVZ. Т.е. avz.exe не запускается. Переименовал - запустилось. Однако анти-руткит модуль все-равно не работает:
Ошибка в работе антируткита [Stream read error], шаг [14]
Пока почистил немого то, что получилось (frmwrk.exe, multilex.exe).
UPD: После удаления этих файлов стал запускаться AVZ из родного exe, антирут-кит заработал вроде. Завтра подчищу думаю сам до конца раз такая пьянка. Карантин сюда слать или так разослать на vendors+z-oleg?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\NTOSKRNL.EXE',''); QuarantineFile('C:\WINNT\system32\frmwrk.exe',''); QuarantineFile('C:\DOCUME~1\SEKRET~1\LOCALS~1\Temp\qxCn5i5K.sys',''); QuarantineFile('C:\WINNT\system32\frmwrk.sys',''); DeleteFile('C:\WINNT\system32\frmwrk.sys'); DeleteFile('C:\DOCUME~1\SEKRET~1\LOCALS~1\Temp\qxCn5i5K.sys'); DeleteFile('C:\WINNT\system32\frmwrk.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Добавлено через 2 минуты
+ дополнительный лог, как написано здесь:
http://virusinfo.info/showthread.php?t=10387
Последний раз редактировалось Bratez; 12.11.2007 в 17:12. Причина: Добавлено
I am not young enough to know everything...
Файл сохранён как 071112_232054_virus_47393436bae15.zip
Впринципе оттуда только 1 файл (frmwrk.exe) как вирус определяется на virustotal.com:
AhnLab-V3 2007.11.13.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 WORM/Zhelatin.Gen
Authentium 4.93.8 2007.11.13 -
Avast 4.7.1074.0 2007.11.12 -
AVG 7.5.0.503 2007.11.12 Downloader.Tibs.8.D
BitDefender 7.2 2007.11.13 Trojan.Downloader.Tibs.GYA
CAT-QuickHeal 9.00 2007.11.12 -
ClamAV 0.91.2 2007.11.12 -
DrWeb 4.44.0.09170 2007.11.12 -
eSafe 7.0.15.0 2007.11.08 Suspicious File
eTrust-Vet 31.2.5290 2007.11.12 -
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 -
F-Secure 6.70.13030.0 2007.11.13 Packed.Win32.Tibs.dk
Ikarus T3.1.1.12 2007.11.13 Packed.Win32.Tibs.dk
Kaspersky 7.0.0.125 2007.11.13 Packed.Win32.Tibs.dk
McAfee 5161 2007.11.12 -
Microsoft 1.3007 2007.11.12 VirTool:WinNT/Tibs.gen!A
NOD32v2 2654 2007.11.13 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.11.12 -
Panda 9.0.0.4 2007.11.13 -
Prevx1 V2 2007.11.13 Malware.Gen
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.13 -
Sunbelt 2.2.907.0 2007.11.13 VIPRE.Suspicious
Symantec 10 2007.11.13 -
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.12 -
Webwasher-Gateway 6.0.1 2007.11.13 Worm.Zhelatin.Gen
После лечения из AVZ не включается "Просмотр карантина". Пишет StatusBar: Out of resources. Сейчас сделаю новые логи.
Все, дофиксил, восстановление системы все долечило. В корне c:\ нашел также тело вируса syseciu.exe, под md5 идентичен frmwrk.exe, он запущен не был, просто на винте лежал, но мало антивирусников о нем знают. Сэмпл я отправил на [email protected] и Олегу Зайцеву.
Что из этого нужно ?
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Все нужно
У Вас два антивируса: Нортон и Касперский. Надо оставить одного, того, что с лицензией.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Касперский к тому же устаревший, актуальная версия 7.0.0.125.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\orl\\vnc\\vnchooks.dll - not-a-virus:RemoteAdmin.Win32.WinVNC.1370
- c:\\winnt\\system32\\frmwrk.exe - Packed.Win32.Tibs.dk (DrWEB: Trojan.DownLoader.19256)
Уважаемый(ая) NStorm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
