После поиска в regedit по всему реестру портится GUI программ и перестают запускаться некоторые программы с сообщением bad image, это rootkit?
Здравствуйте!
Примерно полгода назад на компьютере было обнаружено несколько malware и успешно удалено с помощью malwarebytes' anti-malware, антивирус McAfee VirusScan Enterprise 7.1 с актуальными на тот момент базами ничего не находил. Кроме того запускал ещё несколько антивирусов и anti-malware программ - они ничего не нашли. Думал компьютер чист.
Пару дней назад заметил интересное: если в regedit.exe сделать поиск по всему реестру, то по окончании поиска текст "поиск успешно завершён" во всплывающем окне не отображается. Более того, текст частично пропадает из GUI запущенных в это время программ (с CLI программами ничего не происходит, far работает нормально, например). Новые программы перестают запускаться с сообщением "Bad image". Иногда бывает, что через пару минут всё становится нормально, иногда - нет.
Из подозрительной активности заметил, что при подключении к интернету (PPPoE) активно начинает писать и читать с диска со скоростью 30Кб/с процесс svchost.exe. При этом никаких сетевых подключений нет, не мигает лампочка "Activity" на сетевой карте. Кроме того иногда при запуске task manager его окно мерцает и после этого меняется в размерах и оказывается в другом месте экрана (это случается крайне редко).
В безопасном режиме ничего подозрительного не наблюдается.
Проверил drweb cure it в безопасном режиме, mcafee virusscan enterprise 7.1 c новыми базами, kav online. kav online нашёл и удалил один BHO, но после этого ничего не изменилось (internet explorer я не пользуюсь).
Пробовал множество rootkit-детекторов - никто из них ничего не находит. Кроме gmer - он находит подозрительные объекты:
"Module, Name:_________, Value: F727B000-F7298000 (118784 bytes)", "Device, Name: \FileSystem\Ntfs \Ntfs, Value: 8A7A25D0",
"Device, Name: \FileSystem\FastFat \Fat, Value: 89227190".
При попытке сделать dump module для модуля __________ - синий экран. В безопасном режиме всего этого он не находит.
avz находит скрытые безымянные процессы.
Комментарии по логам: Alcohol 120% и RivaTuner у меня установлены. C:\TEMP\BXV.exe и C:\TEMP\PCA.exe - это модули Rootkit Revealer-а от Sysinternals.
Помогите, пожалуйста, если это возможно..
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнил скрипт как Вы писали - при выполнений скрипта появлялись ошибки "программа svchost.exe выполнила недопустимую операцию и будет закрыта". После этого в безопасном режиме я удалил из реестра всё что касается сервиса MEMSWEEP2 и при следующем запуске скрипт выполнился без ошибок.
Извините, что карантин первый раз отправил без пароля и только потом с паролем.
Что касается скрипта - диска H у меня нету. Файла C:\WINDOWS\system32\6.tmp тоже не было.
C:\Temp\PCA.exe и C:\Temp\BXV.exe - это, как я уже упоминал, элементы Sysinternals Rootkit Revealer-а. Файла C:\Program Files\SoltekHWMON\winio.sys сейчас не было, но когда-то давно он входил в утилиту мониторинга для материнской платы фирмы Soltek.
Что я ещё делал сейчас - удалил Alcohol 120% - все подозрительные сообщения gmer о которых я писал в первом посте исчезли. Просканировал систему с помощью Prevx - он нашёл и удалил одну троянскую dll, правда названия трояна не называл. Установил McAfee VirusScan Enterprise 8.7i с новыми базами и просканировал систему - он ничего не нашёл.
Странности в поведении системы остались. Более того потеря букв в интерфейсе случилась один раз и в безопасном режиме. Правда пострадал только интерфейс самого regedit.
Запускал полное сканирование gmer-ом. После него к сожалению не удалось даже сохранить лог. При попытке зайти на любой диск система жаловалась на нехватку ресурсов. Никакую программу запустить было не возможно. Поэтому присылаю архив с некоторыми логами которые он делал в процессе сканирования. gmer_default_scan.log - это быстрое сканироване, которое он выполняет при запуске.
Интересное наблюдение. Если запускать сканирование в gmer отметив только раздел sections, то он выдаёт странное предупреждение "C:\Temp\mbr.sys The system cannot find the file specified." Такого файла действительно нет, ни в безопасном режиме, ни при загрузке в консоли восстановления (результат такого сканирования в gmer.zip:gmer_sections.log).
Удалять Bonjour мне не хотелось бы, я также работаю с компьютером фирмы Apple, это обязательно?
Временные файлы удалил, прикладываю новые логи.
Ещё раз, большое спасибо!
В прошлый раз я запускал AVZ с деинсталлированным McAfee VirusScan. В этот раз просто отключил его Access Protection, Buffer Overflow Protection и On-Access Scanner при запуске AVZ. Всё остальное делал в соответствии с правилами.
Вот мои жалобы:
1. Если запустить regedit, выбрать там в меню edit->find и написать какое-нибудь слово, то после того как поиск в реестре будет завершён система начнёт вести себя очень странно - пропадают буквы из интерфейса GUI-программ, которые были запущены к этому моменту. Другие программы не запускаются с сообщением с заголовком "Bad image", в окне сообщения как правило ничего не написано (пропали буквы) или написано "installation diskette." или вот один раз при запуске internet explorer в это время появилось такое сообщение целиком: "The application or DLL C:\windows\system32\ieframe.dll is not a valid Windows image. Please check this against your installation diskette".
Файлы regedit.exe, ieframe.dll я копировал с другого компьютера с такой же ОС (версия, обновления и т.д.), на которой подобного поведения не наблюдается. Кроме того посмотрел как заполнены Company Name и Version у всех библиотек в C:\windows\system32 - всё заполнено нормально. Наверное, прийдётся скопировать эту папку с того компьютера и побайтно сравнить все файлы..
2.Процесс svchost.exe пишет на диск и читает с диска с постоянной скоростью в районе 30Kb/s при подключении к интернету.
+ к сообщению Rene-gad
Ничего зловредного не видно.
Видны перехваты Алкоголя/даемона, Макафи, Акрониса, Вари.
Проверьте диск на битые секторы, затем можно попытаться восстановить нормальные системные файлы командой sfc /scannow
Деинсталируйте bonjour
+ В логах виден
C:\Program Files\Internet Explorer\iexp1ore.rar
Вредоносный объект Worm.Win32.Agent.p
Спасибо, что подсказали ещё одну программу, но похоже, что в её логе тоже ничего подозрительного.. Лог прикрепляю.
C:\Program Files\Internet Explorer\iexp1ore.rar - это я оставил экземпляр пойманного malware, который пропускает McAfee.
Диск я проверял вчера - на нём было обнаружено несколько ошибок, которые были исправлены при повторной проверке при перезагрузке. Кстати Alcohol 120% зачем-то прописывает себя в mbr. Программа mbr.exe с сайта gmer определяет его как руткит. Чтобы проверить это, я Alcohol 120% и удалил.
После всего этого, все симптомы так и остались.
Alex_Goodwin, Вы правда думаете, что ошибки после поиска в regedit это из-за Bonjour? :-)
Вызов dumprep уберу оттуда и sfc /scannow попробую сделать сейчас, спасибо!
Забыл сказать ещё вот что. После установки драйвера vba32arkit_beta и перезагрузки система сообщила, что не может загрузить "сервис или драйвер".
В журнале событий я нашёл, какие драйвера не смогли загрузиться:
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7026
Date: 23.08.2009
Time: 21:49:18
User: N/A
Computer: NEHEMIAH
Description:
The following boot-start or system-start driver(s) failed to load:
crcdisk
fasttx2k
uagp35
ViaIde
ViBus
videX32
ViPrt
Последние четыре из них - это драйвера VIA, хотя сейчас у меня нет ничего этой фирмы, но раньше была материнская плата на чипе VIA PT880Ultra, думал, что от неё остались.
Добавлено через 33 минуты
Выполнение sfc /scannow не помогло, симптомы на месте..
Последний раз редактировалось Rene-gad; 23.08.2009 в 18:51.
Да, диск проверял chkdsk - битых секторов на нём нет. Были логические ошибки и они исправлены.
Материнскую плату последний раз менял больше года назад. Странности в поведении заметил пару дней назад, но, в принципе, это не значит, что их не было до того. Хотя редактором реестра я должен был пользоваться и раньше. Например, когда чистил ОС от malware примерно полгода назад - тогда ничего такого не наблюдалось.
В остальном система работает стабильно. Бывает, не выключаю по несколько дней подряд. Разве что бывают изредка синие экраны связанные с драйвером для мыши Razer DeathAdder (начались после того как я мышь поменял) - я проверял стандартными отладочными средствами microsoft для этого, они указали на этот драйвер. Дело в том, что эти драйвера не поддерживают официально Windows 2003.
Дело в том, что программы я устанавливаю часто и помногу. В том числе и драйвера всякие. Конечно, понимаю что ошибки в коде который работает в режиме ядра могут всякое вызвать. Но тут слишком уж странно. Появляется ощущение что какая-то программа специально вызывает сбой при обращении по какому-то пути в реестре. Да и svchost - я наблюдал за этим процессом procmon-ом - он читает с диска и пишет на диск даже когда в procmon отсутствует какая-либо активность у этого процесса.
А то что avz выдаёт информацию о скрытых процессах - это не подозрительно? Правда никакой другой anti-rootkit не нашёл ничего подобного..
Сейчас у меня три версии того что происходит:
1. Повреждён файл с реестром на диске и при считывании какой-то его части, которая не используется в работе в соответствующем системном вызове происходит переполнение буфера или что-то вроде того и получается казус в ядре. При этом скрытая активность svchost.exe это что-то своё, microsoft-овское, не связанное с реестром, скрытое.
2. После удаления вирусов на остались зараженными некоторые системные файлы, что не обнаруживается системой и антивирусами, поскольку никакой явно вредоносной активности не наблюдается.
3. Хороший rootkit.
Вторую версию я давно уже собираюсь проверить - скопировать все системные файлы с компьютера с такой же ОС где такая активность не наблюдается и побайтово сравнить их с моими в WinMerge.
А вот как проверить версии 1 и 3 я пока не придумал...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: