Где-то месяц назад компьютер как-то странно вышел из спящего режима (не гибернации): при загрузке экран вдруг погас, а диск продолжал интенсивно работать. Я, от греха подальше, выключил кнопкой. После этого проверил, и обнаружил странные изменения, о которых ниже. Не факт, конечно, что они появились именно в этот момент, возможно и раньше.
Проверка AVZ нашла следующие подозрительные моменты:
1)
Function NtMapViewOfSection (A8) intercepted (8384872F->91B2A490), hook C:\Windows\system32\drivers\aswSP.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtModifyBootEntry (A9) intercepted (839073D8->91A57B98), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtNotifyChangeKey (AC) intercepted (837FBE5F->91A5CFE0), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtNotifyChangeMultipleKeys (AD) intercepted (837FAF81->91A59EDC), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenEvent (B1) intercepted (83811DF4->91A646CA), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenEventPair (B2) intercepted (8390CFD5->91A6470E), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
...
Function NtQueryObject (F8) intercepted (83802F57->91A59CF4), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
...
Function NtQueueApcThreadEx (10E) intercepted (837F9EAF->91A59A02), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
...
Function NtQueueApcThreadEx (10E) intercepted (837F9EAF->91A59A02), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
...
Function NtShutdownSystem (168) intercepted (83905419->91A57918), hook C:\Windows\system32\drivers\aswSnx.sys
>>> Function restored successfully !
>>> Hook code blocked
с одной стороны - это, вроде, обычный AVAST, но подозрительно, что остальные его перехваты идут с меткой driver recognized as trusted - а эти нет.
2)
Function MmGetPhysicalAddress (8366F86F) - machine code modification Method not defined.
>>> Function restored successfully !
Function MmMapIoSpace (8366FD9B) - machine code modification Method not defined.
>>> Function restored successfully !
этого, похоже, раньше не было (в профайле есть старые версии, оцененные как здоровые)
3)
!!! Attention !!! Restored 84 KiST functions during Anti-Rootkit operation
вот раньше там было 81 - откуда-то взялось еще 3.
Это все записи из последнего лога (прилагаю). К сожалению, прописанные в Инструкции действия со скриптами удалось выполнить только частично, поскольку самый главный скрипт проверки сваливался (см. картинку) при проверке диска - видимо, когда натыкался на хранилище антивируса? Остальные по мере возможности прилагаю.
Еще, запустил скрипт по выявлению уязвимостей, как здесь советовали. Выявил три уязвимости, успешно закрыл патчами, как рекомендовалось в результатах скрипта. На роутере, как выяснилось, по умолчанию не был включен SPI
Заранее спасибо за совет!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Vlad_D, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
я же написал выше, что честно пытался. Но вот с этим пунктом вышла проблема
Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт №3 "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" ("Advanced System Analysis with malware removal mode enabled"). Нажмите "Выполнить отмеченные скрипты" ("Execute selected scripts"). Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscure.zip.
Во-первых, в актуальной версии AVZ меню скриптов выглядит так, как на вложенном рисунке. Как видите, п.3 похож, но, увы, не соответствует описанию в Правилах. Кстати, неплохо бы их актуализировать в связи с этим. Ну, или договориться с автором AVZ чтобы он возобновил все в нужном виде. Поэтому я попробовал, за неимением лучшего, п.3 как он есть Но,
Во-вторых, как я уже написал в описании, скрипт в процессе выполнения сваливается. Всегда на одном и том же месте, картинка приложена. Антивирус отключен, но, тем не менее...
Всё чисто и явный перебор а защитными продуктами. Неудивительно, что AVZ вылетал.
Spybot - Search & Destroy удалите, бесполезная программа.
Malwarebytes Anti-Malware надо было устанавливать в бесплатном варианте, только как сканер, у Вас же он будет бороться прежде всего с Avast и Outpost Firewall Pro, в последнем, кстати, есть проактивная защита, и с другими антивирусами могут быть конфликты.
Спасибо! Обложился защитой после взлома, когда в результате пришлось все переустанавливать. Если позволите, несколько уточнений:
1) Malwarebytes Anti-Malware - можно, конечно, переустановить, но проще отключить защиту в реальном времени. Этого достаточно?
2) Spybot - Search & Destroy мне когда-то посоветовала тех.поддержка AVAST. Если он не вредит, то я бы скорее оставил.
3) рекомендованный Вами UVS можно использовать как сканер на будущее?
4) все же, от греха подальше: Function MmGetPhysicalAddress (8366F86F) - machine code modification Method not defined.
>>> Function restored successfully !
Function MmMapIoSpace (8366FD9B) - machine code modification Method not defined.
>>> Function restored successfully !
это так должно быть? Я обратился за помощью на Ваш сайт поскольку судя по гуглу, похожие записи идентифицировались как следы руткитов, но именно такой я не найти не смог.
3) Это не сканер, это инструмент примерно того же уровня и функционала, что и AVZ. Убить систему обеими этими программами очень просто, используйте их под контролем и по рекомендациям хелперов.
4) Да, нормально, особенно при наличии антивируса.
Увидел (возможно, с запозданием) запрос на карантин - загрузил.
Рекомендации выполнял и до того.
Последний (надеюсь) вопрос: "Убить систему обеими этими программами очень просто, используйте их под контролем и по рекомендациям хелперов."
- обычный скан AVZ с AVZРМ безопасен?
Мне пару лет назад офисный сисадмин его посоветовал, с тех пор время от времени запускаю, если вижу нечто подозрительное (собственно, и это обращение основано на таких результатах).
Безопасен, но AVZPM уже на Vista, а на 7-ке тем более, как задумано, не работает. И, если честно, обычному пользователю, кроме паранойи разной степени, ничего не даст.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: