На нескольких компьютерах в своё время поселился небызызвестный ntos.exe.
На первых заражённых им машинах всё удалось вычистить вручную, на нескольких (где он успел "прожить" несколько дней и накачать разной гадости) пришлось использовать AVZ. На ещё 2-х машинах всё печальнее. Там он прожил чуть ли не неделю или даже больше. От "побочных" троянов и прочих гадостей успешно почистил одну из машин, но там прописалась на уровне сервиса (их было 2) - которая во первых прятала свои файлы и защищала их от удаления (+ в реестре тоже), а вторая занималась закачкой новой гадости на машину и держала открытыми 2 порта. С этим тоже удалось разобраться, благодаря AVPTool (AVZ эта гадость блочила - просто не давала скопировать или создать любые файлы с расширением AVZ). Короче осталась последняя машина. Вычещено всё, но оч. глубого и хорошо засел в системе спам-бот (в данный момент его деятельность заблочена фаерволом на роутере).
Не получается сделать лечение и анализ системы скриптом AVZ - т.к. при попытке блокирования Root-kit kernel mode система тут же падает с синим экраном. Проверялось в различных режимах (включая безопасный), даже был удалён антивирус и т.д. - не помогает. Единственное что удаётся сделать с помощью AVZ - общий стандартный скан. Выкладываю лог текстом, т.к. нет смысла его прикладывать (он не соответствует правилам) во вложении.
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp F73846B1Bfgk52.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F738441DBfgk52.sys
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F737FED5 -> Bfgk52.sys
Проверка завершена
виновник собственно BFGK52.SYS который очень плотненько где то засел. Как удалить гада - придумать не удалось, поэтому обращаюсь за помощью.
Прилагаю только лог от hijackthis.
Заранее спасибо
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
удалил, перезагрузился, решил ещё раз в драйверы слазить - отсортировал по дате файлы - было много "свежих" майских. Убил все эти файлы. Ребутнул - нашлись как бы 2 устройства (неизвестных), удалил их в диспетчере устройств. Посмотрел ещё раз IceSword'ом директорию драйверов. Нашёл 2 довольно больших файла (600kb один и ещё один поменьше), которые тут же восстанавливаются после удаления. Посмотрел на нескольких машинах - ничего подобного нигде не встречается, в dllcache тоже не было их.
Прогнал скрипт AVZ (лечение и сбор информации), нашёл много интересного в логе =)
После этого перезагрузился и прогнал 2-й скрипт...
Прикладываю 2 файлика. Сейчас проверил - всё чисто. Спам-бот помер после удаления bfgk52.sys, больше никакой активности пока что не наблюдается. Восстановил антивирь (Symantec Antivir Corporate).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: