После поиска в regedit по всему реестру портится GUI программ и перестают запускаться некоторые программы с сообщением bad image, это rootkit?

**unconnected** · 22.08.2009, 16:13

Здравствуйте!

Примерно полгода назад на компьютере было обнаружено несколько malware и успешно удалено с помощью malwarebytes' anti-malware, антивирус McAfee VirusScan Enterprise 7.1 с актуальными на тот момент базами ничего не находил. Кроме того запускал ещё несколько антивирусов и anti-malware программ - они ничего не нашли. Думал компьютер чист.

Пару дней назад заметил интересное: если в regedit.exe сделать поиск по всему реестру, то по окончании поиска текст "поиск успешно завершён" во всплывающем окне не отображается. Более того, текст частично пропадает из GUI запущенных в это время программ (с CLI программами ничего не происходит, far работает нормально, например). Новые программы перестают запускаться с сообщением "Bad image". Иногда бывает, что через пару минут всё становится нормально, иногда - нет.
Из подозрительной активности заметил, что при подключении к интернету (PPPoE) активно начинает писать и читать с диска со скоростью 30Кб/с процесс svchost.exe. При этом никаких сетевых подключений нет, не мигает лампочка "Activity" на сетевой карте. Кроме того иногда при запуске task manager его окно мерцает и после этого меняется в размерах и оказывается в другом месте экрана (это случается крайне редко).

В безопасном режиме ничего подозрительного не наблюдается.

Проверил drweb cure it в безопасном режиме, mcafee virusscan enterprise 7.1 c новыми базами, kav online. kav online нашёл и удалил один BHO, но после этого ничего не изменилось (internet explorer я не пользуюсь).

Пробовал множество rootkit-детекторов - никто из них ничего не находит. Кроме gmer - он находит подозрительные объекты:
"Module, Name:_________, Value: F727B000-F7298000 (118784 bytes)", "Device, Name: \FileSystem\Ntfs \Ntfs, Value: 8A7A25D0",
"Device, Name: \FileSystem\FastFat \Fat, Value: 89227190".
При попытке сделать dump module для модуля __________ - синий экран. В безопасном режиме всего этого он не находит.

avz находит скрытые безымянные процессы.
Комментарии по логам: Alcohol 120% и RivaTuner у меня установлены. C:\TEMP\BXV.exe и C:\TEMP\PCA.exe - это модули Rootkit Revealer-а от Sysinternals.

Помогите, пожалуйста, если это возможно..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 22.08.2009, 18:28

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('MEMSWEEP2');
 QuarantineFile('H:\___\sys\PortMon\PORTMSYS.SYS','');
 QuarantineFile('C:\WINDOWS\system32\6.tmp','');
 QuarantineFile('C:\Temp\PCA.exe','');
 QuarantineFile('C:\Temp\BXV.exe','');
 QuarantineFile('C:\Program Files\SoltekHWMON\winio.sys','');
 DeleteFile('C:\WINDOWS\system32\6.tmp');
 DeleteService('MEMSWEEP2');
 DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 BC_DeleteSvc('MEMSWEEP2');
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**unconnected** · 23.08.2009, 12:07

Спасибо за быстрый ответ!!

Выполнил скрипт как Вы писали - при выполнений скрипта появлялись ошибки "программа svchost.exe выполнила недопустимую операцию и будет закрыта". После этого в безопасном режиме я удалил из реестра всё что касается сервиса MEMSWEEP2 и при следующем запуске скрипт выполнился без ошибок.

Извините, что карантин первый раз отправил без пароля и только потом с паролем.

Что касается скрипта - диска H у меня нету. Файла C:\WINDOWS\system32\6.tmp тоже не было.
C:\Temp\PCA.exe и C:\Temp\BXV.exe - это, как я уже упоминал, элементы Sysinternals Rootkit Revealer-а. Файла C:\Program Files\SoltekHWMON\winio.sys сейчас не было, но когда-то давно он входил в утилиту мониторинга для материнской платы фирмы Soltek.

Что я ещё делал сейчас - удалил Alcohol 120% - все подозрительные сообщения gmer о которых я писал в первом посте исчезли. Просканировал систему с помощью Prevx - он нашёл и удалил одну троянскую dll, правда названия трояна не называл. Установил McAfee VirusScan Enterprise 8.7i с новыми базами и просканировал систему - он ничего не нашёл.

Странности в поведении системы остались. Более того потеря букв в интерфейсе случилась один раз и в безопасном режиме. Правда пострадал только интерфейс самого regedit.

Запускал полное сканирование gmer-ом. После него к сожалению не удалось даже сохранить лог. При попытке зайти на любой диск система жаловалась на нехватку ресурсов. Никакую программу запустить было не возможно. Поэтому присылаю архив с некоторыми логами которые он делал в процессе сканирования. gmer_default_scan.log - это быстрое сканироване, которое он выполняет при запуске.

Интересное наблюдение. Если запускать сканирование в gmer отметив только раздел sections, то он выдаёт странное предупреждение "C:\Temp\mbr.sys The system cannot find the file specified." Такого файла действительно нет, ни в безопасном режиме, ни при загрузке в консоли восстановления (результат такого сканирования в gmer.zip:gmer_sections.log).

Удалять Bonjour мне не хотелось бы, я также работаю с компьютером фирмы Apple, это обязательно?

Временные файлы удалил, прикладываю новые логи.
Ещё раз, большое спасибо!

**Rene-gad** · 23.08.2009, 14:04

Прочтите в Правилах в разделе После загрузки инструментов п. 6 до конца

**unconnected** · 23.08.2009, 14:18

В прошлый раз я запускал AVZ с деинсталлированным McAfee VirusScan. В этот раз просто отключил его Access Protection, Buffer Overflow Protection и On-Access Scanner при запуске AVZ. Всё остальное делал в соответствии с правилами.

**Rene-gad** · 23.08.2009, 14:32

Сообщение от unconnected

Что касается скрипта - диска H у меня нету
Файла C:\WINDOWS\system32\6.tmp тоже не было.
Файла C:\Program Files\SoltekHWMON\winio.sys сейчас не было

Это все видно в логах. Есть оно или нет - я не знаю.

C:\Temp\PCA.exe и C:\Temp\BXV.exe

я понял. Карантинил их для базы доверенных файлов.

Какие жалобы есть?

**unconnected** · 23.08.2009, 14:53

Ага, понятно..

Вот мои жалобы:
1. Если запустить regedit, выбрать там в меню edit->find и написать какое-нибудь слово, то после того как поиск в реестре будет завершён система начнёт вести себя очень странно - пропадают буквы из интерфейса GUI-программ, которые были запущены к этому моменту. Другие программы не запускаются с сообщением с заголовком "Bad image", в окне сообщения как правило ничего не написано (пропали буквы) или написано "installation diskette." или вот один раз при запуске internet explorer в это время появилось такое сообщение целиком: "The application or DLL C:\windows\system32\ieframe.dll is not a valid Windows image. Please check this against your installation diskette".

Файлы regedit.exe, ieframe.dll я копировал с другого компьютера с такой же ОС (версия, обновления и т.д.), на которой подобного поведения не наблюдается. Кроме того посмотрел как заполнены Company Name и Version у всех библиотек в C:\windows\system32 - всё заполнено нормально. Наверное, прийдётся скопировать эту папку с того компьютера и побайтно сравнить все файлы..

2.Процесс svchost.exe пишет на диск и читает с диска с постоянной скоростью в районе 30Kb/s при подключении к интернету.

**Rene-gad** · 23.08.2009, 14:58

Сделайте такой лог: http://virusinfo.info/showthread.php?t=37840.

**Alex_Goodwin** · 23.08.2009, 15:54

+ к сообщению Rene-gad
Ничего зловредного не видно.
Видны перехваты Алкоголя/даемона, Макафи, Акрониса, Вари.
Проверьте диск на битые секторы, затем можно попытаться восстановить нормальные системные файлы командой sfc /scannow
Деинсталируйте bonjour
+ В логах виден

C:\Program Files\Internet Explorer\iexp1ore.rar
Вредоносный объект Worm.Win32.Agent.p

пофиксить:

O4 - HKLM\..\Run: [ShutdownEventCheck] %systemroot%\system32\dumprep 0 -s

**unconnected** · 23.08.2009, 17:29

Спасибо, что подсказали ещё одну программу, но похоже, что в её логе тоже ничего подозрительного.. Лог прикрепляю.

C:\Program Files\Internet Explorer\iexp1ore.rar - это я оставил экземпляр пойманного malware, который пропускает McAfee.

Диск я проверял вчера - на нём было обнаружено несколько ошибок, которые были исправлены при повторной проверке при перезагрузке. Кстати Alcohol 120% зачем-то прописывает себя в mbr. Программа mbr.exe с сайта gmer определяет его как руткит. Чтобы проверить это, я Alcohol 120% и удалил.

После всего этого, все симптомы так и остались.

Alex_Goodwin, Вы правда думаете, что ошибки после поиска в regedit это из-за Bonjour? :-)

Вызов dumprep уберу оттуда и sfc /scannow попробую сделать сейчас, спасибо!

Забыл сказать ещё вот что. После установки драйвера vba32arkit_beta и перезагрузки система сообщила, что не может загрузить "сервис или драйвер".

В журнале событий я нашёл, какие драйвера не смогли загрузиться:
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7026
Date: 23.08.2009
Time: 21:49:18
User: N/A
Computer: NEHEMIAH
Description:
The following boot-start or system-start driver(s) failed to load:
crcdisk
fasttx2k
uagp35
ViaIde
ViBus
videX32
ViPrt

Последние четыре из них - это драйвера VIA, хотя сейчас у меня нет ничего этой фирмы, но раньше была материнская плата на чипе VIA PT880Ultra, думал, что от неё остались.

Добавлено через 33 минуты

Выполнение sfc /scannow не помогло, симптомы на месте..

**Alex_Goodwin** · 24.08.2009, 00:25

Сообщение от unconnected

Alex_Goodwin, Вы правда думаете, что ошибки после поиска в regedit это из-за Bonjour? :-)

Нет, не думаю.

Проверьте диск на битые секторы

выполняли?
Я так понял Вы не так давно материнскую плату поменяли? А глюки не после этого начались?

**unconnected** · 24.08.2009, 07:36

Да, диск проверял chkdsk - битых секторов на нём нет. Были логические ошибки и они исправлены.

Материнскую плату последний раз менял больше года назад. Странности в поведении заметил пару дней назад, но, в принципе, это не значит, что их не было до того. Хотя редактором реестра я должен был пользоваться и раньше. Например, когда чистил ОС от malware примерно полгода назад - тогда ничего такого не наблюдалось.

В остальном система работает стабильно. Бывает, не выключаю по несколько дней подряд. Разве что бывают изредка синие экраны связанные с драйвером для мыши Razer DeathAdder (начались после того как я мышь поменял) - я проверял стандартными отладочными средствами microsoft для этого, они указали на этот драйвер. Дело в том, что эти драйвера не поддерживают официально Windows 2003.

**sergey ulasen** · 24.08.2009, 16:27

В логах Vba32 AntiRootkit ничего страшного не видно.

Учитывая то, что проблемы с regedit, а McAfee делает кучу перехватов на реестр, может на некоторое время от него отказаться и посмотреть на результат?

**unconnected** · 24.08.2009, 18:22

Понятно, спасибо..

А с антивирусом.. Дело в том, что раньше стоял McAfee VirusScan Enterprise 7.1, он не делал перехваты на реестр, но всё это было замечено ещё с ним.

Потом я удалил его и проверял вообще без антивируса - симптомы остались.

И только вчера поставил версию 8.7 в которой эти перехваты есть. Ничего не изменилось.

**Alex_Goodwin** · 24.08.2009, 19:10

Возможно какой-то из установленного софта не дружит с серверной виндой. Может вспомните, после установки какой программы начались проблемы?

**unconnected** · 25.08.2009, 00:51

Дело в том, что программы я устанавливаю часто и помногу. В том числе и драйвера всякие. Конечно, понимаю что ошибки в коде который работает в режиме ядра могут всякое вызвать. Но тут слишком уж странно. Появляется ощущение что какая-то программа специально вызывает сбой при обращении по какому-то пути в реестре. Да и svchost - я наблюдал за этим процессом procmon-ом - он читает с диска и пишет на диск даже когда в procmon отсутствует какая-либо активность у этого процесса.

А то что avz выдаёт информацию о скрытых процессах - это не подозрительно? Правда никакой другой anti-rootkit не нашёл ничего подобного..

Сейчас у меня три версии того что происходит:
1. Повреждён файл с реестром на диске и при считывании какой-то его части, которая не используется в работе в соответствующем системном вызове происходит переполнение буфера или что-то вроде того и получается казус в ядре. При этом скрытая активность svchost.exe это что-то своё, microsoft-овское, не связанное с реестром, скрытое.

2. После удаления вирусов на остались зараженными некоторые системные файлы, что не обнаруживается системой и антивирусами, поскольку никакой явно вредоносной активности не наблюдается.

3. Хороший rootkit.

Вторую версию я давно уже собираюсь проверить - скопировать все системные файлы с компьютера с такой же ОС где такая активность не наблюдается и побайтово сравнить их с моими в WinMerge.

А вот как проверить версии 1 и 3 я пока не придумал...