AVZ находит что-то непонятное при поиске перехватчиков API и проверке обработчиков IRP
Результаты из протокола:
Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 18.04.2014 06:56:38
Загружена база: сигнатуры - 297612, нейропрофили - 2, микропрограммы лечения - 56, база от 18.04.2014 04:00
...
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Функция NtCreateKey (29) перехвачена (80623786->B9EBE0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC3FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC4340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80624B58->B9EBE0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC441, перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC429, перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC44AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
...
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A8391E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A8391E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89AB9768 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89AB9768 -> перехватчик не определен
Проверка завершена
...
Подскажите, пожалуйста, что это значит? Что мне нужно сделать, чтобы исправить ситуацию? Заранее благодарю!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Stanislav R, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Отключил драйверы эмуляторов дисков с помощью программы DeFogger by LDTate.
Перезагрузил компьютер по требованию DeFogger.
Запустил программу GMER (У меня Windows XP)
Во время экспресс-проверки не появлялись окна с сообщением о деятельности руткита.
После завершения экспресс-проверки убрал метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставил отмеченным только системный диск C:\
Нажал кнопку Scan. Во время проверки не появлялись окна с сообщением о деятельности руткита.
После окончания проверки сохранил лог (нажав на кнопку Save) и вложил в сообщение.
Подскажите, пожалуйста, какие действия мне нужно предпринимать дальше? Благодарю!
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\gitntiep.dll','');
DeleteFile('C:\WINDOWS\system32\gitntiep.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ymuwbg\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbouf\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\vfnpiuk\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kmgpvix\Parameters','ServiceDll');
DeleteService('ymuwbg', true);
DeleteService('wbouf', true);
DeleteService('vfnpiuk', true);
DeleteService('kmgpvix', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Выполнил скрипт:
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\gitntiep.dll', '');
DeleteFile('C:\WINDOWS\system32\gitntiep.dll','32' );
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\ymuwbg\Parameters','ServiceDl l');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\wbouf\Parameters','ServiceDll ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\vfnpiuk\Parameters','ServiceD ll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Curren tControlSet\Services\kmgpvix\Parameters','ServiceD ll');
DeleteService('ymuwbg', true);
DeleteService('wbouf', true);
DeleteService('vfnpiuk', true);
DeleteService('kmgpvix', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузился. Перезагрузка длилась около 5 минут. Сразу появилось окно об ошибке системы Windows и предложением отправить или не отправить отчет.
Запустил программу AVZ. Выполнил скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате перезагрузки после выполнения первого скрипта поменялись все настройки оформления Windows и рабочего стола. Некоторые программы перестали запускаться. Везде перестала работать функция Копировать/Вставить. В окне сетевых подключений исчезли все подключения. Невозможно создать новое подключение.
Выключил компьютер и включил заново. Windows загружается очень долго (больше 5 минут) и выдает ту же ошибку.
Перечисленные неработоспособности остались.
Запустил программу AVZ.
Сделал повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Так как теперь не могу подключиться к Интернету пишу сообщение от соседа. К сожалению, не могу отправить и файлы quarantine.zip, virusinfo_syscheck.zip и hijackthis.log поскольку не работает копировать/вставить.
В безопасном режиме с поддержкой сети проблема остается. К тому же в папке сетевые подключения вообще пустое окно, нет даже панельки "Изменение сетевых параметров" которая в обычном режиме все еще была.
Рекомендованную вами утилиту не могу перенести на свой компьютер, так как отсутствует возможность копирования/перенесения из флешки.
До того, как вчера впервые запустил AVZ, проверял компьютер с помощью утилиты Kaspersky Virus Removal Tool. Она ничего не обнаружила.
К Интеорнет по-прежнему не могу подключиться. Пишу от соседа.
Точки восстановления у вас есть? Можете выполнить откат через восстановление системы до выполнения скрипта? Хотя скрипт не мог привести к таким проблемам.
Система восстановления система отключена не была (до выполнения скрипта). Сейчас, когда иду в меню "Пуск" - "Все программы" - "Служебные" - "Восстановление системы", появляется окно
"Восстановлению системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы"
Если перезагружаю компьютер, повторяется то же самое. Пробовал через папку Restore, которая находится в system32. В этом случае всплывает такое же окно.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
Введите sfc /scannow и нажмите Энтер.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
2) Нужны новые логи AVZ, HiJackThis так очень трудно сказать что пошло не так.