Показано с 1 по 10 из 10.

Возвращение старого зловреда (заявка № 55607)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0

    Thumbs up Возвращение старого зловреда

    Здравствуйте. Пол года назад таинственным образом удалил со своего компа руткита. 2 дня назад обнаружил его опять.
    AVZ в процессе анализа вывел на экран следующее:
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055A220
    KiST = 804E26A8 (284)
    Функция NtClose (19) перехвачена (805678DD->F74F402, перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtCreateKey (29) перехвачена (8057065D->F74F3FE0), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtCreatePagingFile (2D) перехвачена (805BBDC7->F74E7B00), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtEnumerateKey (47) перехвачена (80570D64->F74E85DC), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtEnumerateValueKey (49) перехвачена (80590677->F74F4120), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtOpenFile (74) перехвачена (8056CD5B->F74E7B40), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtOpenKey (77) перехвачена (80568D59->F74F3FA4), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtQueryKey (A0) перехвачена (80570A6D->F74E85FC), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtQueryValueKey (B1) перехвачена (8056A1F2->F74F4076), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Функция NtSetSystemPowerState (F1) перехвачена (8066768B->F74F3550), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    Вот список новых файлов в системной директории, к-х я не знаю:
    c:\windows.0\system32\borlndmm.dll = Файл создан
    c:\windows.0\system32\cmd.exe = Файл создан (это я его восстановил)
    c:\windows.0\system32\eax.dll = Файл создан
    c:\windows.0\system32\iacenc.dll = Файл создан
    c:\windows.0\system32\ir32_32.dll = Файл изменен, изменилось содержимое
    c:\windows.0\system32\pixomatic.dll = Файл создан
    c:\windows.0\system32\vp6vfw.dll = Файл создан
    В реестре появился след. раздел (reg-файл):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a 347scsi\Config\jdgg40]
    "ujdew"=hex:20,02,00,00,23,0d,88,43,cb,47,a3,78,2f ,6b,cd,44,43,d8,52,96,ae,ee,\
    6d,63,22,b3,b8,bd,76,6e,b6,61,ab,80,fb,ad,09,f6,64 ,b0,3f,74,1e,6b,66,4d,37,\
    33,91,44,8e,4a,60,09,82,eb,03,d7,98,1d,fa,5b,dd,e7 ,c5,6f,9f,36,44,fa,c5,34,\
    57,bd,6c,4d,be,a5,25,6b,49,b3,ee,54,f8,64,42,3f,3b ,89,24,14,b2,0f,06,39,3d,\
    6b,34,b8,5c,95,ca,9f,cf,78,05,c0,f6,5d,74,59,21,a4 ,e0,92,70,af,ac,08,d3,76,\
    f6,8b,4a,03,0c,79,15,12,62,b7,54,8f,d2,c7,67,1f,ca ,d4,0e,54,a9,2d,99,58,61,\
    f7,c8,c8,56,3b,cb,e6,0d,b0,02,35,98,8b,4d,c4,b8,4e ,ac,cf,d3,27,9f,f0,80,af,\
    46,62,b4,f6,71,48,44,6d,40,a1,b7,15,e3,39,89,2e,da ,6e,e3,83,a5,c8,05,54,a4,\
    37,eb,97,37,6d,43,94,9e,7e,10,47,29,ca,c2,11,d8,10 ,a8,a9,9b,e7,2e,c7,92,96,\
    0d,c9,9d,98,af,9a,bc,a6,db,0d,af,dc,e9,25,d6,6a,bc ,41,81,47,29,7f,50,ff,0c,\
    e5,b3,30,9f,29,aa,8d,c5,e2,f5,8b,5d,c6,b4,fc,8b,1d ,c7,a7,c7,54,6e,25,47,9e,\
    79,08,30,ef,28,3c,e8,91,ab,94,30,bc,62,34,c4,7d,2d ,01,7e,ad,8c,11,80,81,7f,\
    2d,cd,04,a6,76,95,fd,d1,83,84,05,a0,a8,63,df,43,5c ,6d,9a,3a,61,46,40,05,5a,\
    94,a3,84,dd,70,fb,97,cd,69,84,fe,47,5c,9e,89,11,37 ,4a,38,3c,e7,a9,7b,ee,35,\
    f3,f2,0d,7c,0e,7d,fe,e9,73,9c,20,b6,7c,0f,e1,e0,2a ,36,77,80,d1,61,13,54,f4,\
    b0,be,b2,0b,13,a3,a7,c7,8a,f8,34,37,55,3d,0d,34,94 ,d2,af,46,a7,df,bd,b6,4e,\
    e6,cf,8e,d9,ef,6c,24,08,10,9e,95,0b,eb,5d,69,42,1b ,2b,80,8d,7e,12,46,ec,cb,\
    7a,cb,df,09,48,14,86,6b,1a,81,b1,f6,f4,0e,80,20,2e ,9f,23,26,1c,11,1a,54,b2,\
    9a,e5,1b,6a,7b,e4,eb,61,66,77,de,54,b4,de,f8,3e,cb ,69,89,d0,ae,18,c8,62,57,\
    db,a4,2d,f5,d2,74,12,b8,dd,83,2c,cf,fc,12,4a,14,ef ,a5,49,c2,16,6c,18,9c,c1,\
    1e,fe,07,90,ee,37,1d,f3,cd,f7,7f,ea,5b,18,de,35,16 ,9c,58,f4,20,37,64,07,c0,\
    27,63,ae,96,89,73,b9,fe,ad,59,68,64,d1,af,eb,f9,67 ,46,a2,f9,a1,d3
    "ljej40"=hex:2b,1a,63,86,90,37,db,30,ee,84,45,e2,3 f,89,27,48,bd,bd,e1,95,dd,b3,\
    ed,50,3b,f3,ae,8c,9a,ab,72,c4,e9,29,08,1f,b0,10,21 ,47,17,19,98,3e,16,40,94,\
    9f,d5,8a,8e,69,2c,06,cb,93,13,32,89,42,92,a7,d3,40 ,81,e0,7a,39,68,f8,33,1f,\
    9f,ee,f8,20,2e,39,54,4b,ed,d4,32,60,64,52,10,4d,eb ,36,22,cc,74,d8,dc,eb,19,\
    25,13,b4,20,00,62,2d,f7,f9,f6,e6,a6,f2,ba,7c,05,2b ,e0,ff,9c,5e,1a,0d,93,4f,\
    74,c3,23,c6,c4,b3,b1,42,dc,a0,d8,09,bf,59,4f,05,77 ,83,1e,95,40,4f,1d,bb,1b,\
    c4,d4,68,8e,ff,9b,99,ae,3a,7a,92,c5,53,49,ad,96,db ,90,3f,a2,82,a7,15,52,19,\
    68,ec,a1,61,35,64,9f,5a,0c,33,f5,f7,73,95,13,20,72 ,6a,fd,e3,e1,30,55,e0,48,\
    23,06,33,af,97,d4,65,ac,59,be,dd,4d,ba,38,b3,44,cb ,1b,bd,4b,c5,b9,ee,6a,fb,\
    cd,79,79,81,ff,51,00,37,aa,35,57,1a,3f,0b,86,a2,1a ,91,65,6d,89,5d,7c,d0,d3,\
    96,23,d6,4b,b2,4b,69,99,69,11,fa,d1,20,b8,78,51,ea ,af,55,26,9b,fe,61,fe,e5,\
    7d,c9,26,c8,b4,69,d2,09,ab,5c,68,d9,5b,58,7c,f5,99 ,79,db,70,71,2b,83,89,07,\
    de,92,71,76,f5,75,ab,bc,c9,7f,ee,ec,3c,50,34,d3,07 ,82,d7,52,80,66,8f,41,90,\
    7f,f0,28,1a,4a,ea,5f,4c,21,3e,ee,61,f1,dd,ad,b3,23 ,87,24,50,6a,7a,ab,a3,ff,\
    07,63,b5,a4,08,b1,bd,f6,5e,e2,2a,96,a5,f1,74,1e,df ,2f,b0,eb,23,91,b6,f8,f6,\
    1a,8b,60,0a,4e,00
    Еще когда у меня не было cmd.exe, а когда он был под другим именем, эта гадость у меня не появлялась. В C:\Windows\system32 появился файл NUXJHDOVMPVJEZ в 3 мегабайта, в к-м записано содержимое каталогов на жестком диске в формате UTF-8. Причем содержимое файла совпадает с выводом командного интерпретатора. Так что я не зря раньше переименовал cmd.exe.
    В журнале событий появились:
    2) Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: a347bus
    Это я переменовал файл a347bus.sys
    1) Служба "UJUTJAFN" перешла в состояние Работает.
    3) Служба "IYTGMHKGQGT" перешла в состояние Работает.
    В реестре нашел:
    C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\IYTGMHKGQGT. exe - Rootkit detection utility
    Это не страшно - я 2 раза запускал Rootkit Revealer.
    Еще подозрительно:
    4) Сбой при запуске службы "EYBE" из-за ошибки ... Системе не удается найти указанный путь.
    В реестре нашел:
    HKLM\SYSTEM\ControlSet001\EnumRoot\LEGACY_EYBE
    HKLM\SYSTEM\ControlSet001\Services\EYBE - с пустым разделом Security.
    5) Служба восстановления системы возобновила работу, поскольку на системном диске освобождено необходимое место.

    Вобщем, у меня есть ощущение, что a347bus.sys не виноват - возможно кто-то другой внедрился в его память и там уже совершал все действия. Установка Alcohol на вирт. машину показала, что эти и оригинальные файлы полностью одинаковые. Может быть, как-то отследить обращение к файлам a347bus.sys и a347scsi.sys и посмотреть - кто к ним обращается.

    Сейчас я в реестре запретил SYSTEM и Администраторам задавать значения для ключей, нах. в разделе jdgg40 и включил аудит отказов и успехов этого действия. Также заменил cmd.exe, a347bus.sys, a347scsi.sys на пустые файлы и включил для них аудит отказов и успехов запуска для SYSTEM и Администраторов. Правда после перезагрузки система не грузилась, пришлось фальшивые файлы a347bus.sys, a347scsi.sys удалить из Консоли Восстановления. И аудит отказов в задании ключей в jdgg40 почему-то не работает - в журнале "Безопасность" никаких записей не появляется.

    В логе исследования системы AVZ подозрительно следующее:
    cmd.exe /c chcp 65001 && set DIRCMD= && "cmd /c dir /4 /a /s D:\ > C:\WINDOWS.0\system32\NUXJHDOVMPVJEZ"
    "cmd /c dir /4 /a /s D:\ > C:\WINDOWS.0\system32\NUXJHDOVMPVJEZ"
    Причем последнее - даже в процессе win-command.exe (переименованный интерпретатор команд)

    Второй день ищу и не знаю - за что зацепиться. Возможно он уже был на компьютере и заработал когда я обратно переименовал win-command.exe в cmd.exe.
    Нашел похожую тему, к сожалению, там только путь:
    http://virusinfo.info/showthread.php?t=40907&highlight=jdgg40&page=2
    вот что там есть:
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D 79C293C1ED61418462E24595C90D04\00000001\jdgg40
    Но судя по фразе "Привет! Я пришел к вам с миром" - это не то, у меня такая фраза не появлялась. На что это похоже и где мне еще искать?

    Забыл - в приложении - результаты исследования системы AVZ.
    Вложения Вложения
    Последний раз редактировалось AndreyMust19; 25.09.2009 в 23:40.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Обращаясь за помощью вы должны приложить три лога virusinfo syscheck, virusinfo syscure и hijackthis.log. Читайте ПРАВИЛА

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Обращаясь за помощью вы должны приложить три лога
    А я думал что успею их выложить раньше чем меня заметят. Готово (файл "архивы.rar")

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Логи надо выкладывать раздельно,зачем вы их в один архив запаковали? Ничего подозрительного в них не увидел

  6. #5
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Скорее всего, ничего подозрительно в них и не найдете - гадость теперь уже деактивирована (AVZ не обнаруживает перехвата ядерных функций). Я удалил только драйверы Алкоголя и раздел реестра jdgg40, а значит, гадость еще осталась. Может вернуть все назад, чтобы вредонос активировался и его можно было обнаружить? А вместо cmd.exe пустышку можно подложить?

  7. #6
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0

    Done

    Пустышку вместо cmd подставил - ни разу пока не запускалась. Значит руткит точно отключен (но на компьютере еще остался). Скачал посл. версию AVZ и обновил логи. Восстанавливать на место драйвера Алкоголя и параметр реестра jdgg40 пока не стал. Выключил пару служб, на 2 открытых порта стало меньше.
    ir32_32.dll
    Ревизор говорит что этот файл изменился. База данных была создана 27.08.2009.
    У него в свойствах файла нет информации о версии, а вот редактор ресурсов эту информацию показывает.
    Этот файл, скорее всего - видеокодек Indeo. Я после составления базы поставил Thief 2 и соответственно кодек первой части игры заменился кодеком второй части игры.
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 01.10.2009 в 02:10. Причина: к сообщению прикладывать можно только логи

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Не видно ничего подозрительного.
    Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  9. #8
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    AndreyKa
    Я уже обновил AVZ, но логи остались теми же. Как я понял, руткит - это Alcohol и ничего плохого он не делает.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Логи не надо было делать. Надо было загрузить по инструкции незнакомые для AVZ файлы.

  11. #10
    Junior Member Репутация
    Регистрация
    25.09.2009
    Сообщений
    101
    Вес репутации
    0
    Надо было загрузить по инструкции незнакомые для AVZ файлы.
    Я и хочу их закачать. У меня их 30 с лишним МБ и за 30 минут я сомневаюсь их успеть закачать (вроде бы стоит защита, разрешающая закачивание не дольше 30 минут). Поэтому я жду ответ с форума (http://virusinfo.info/showthread.php?t=13193) - разрешат ли мн распилить архив на 2-3 части. Ночью попробую все-таки закачать, может получится.
    Кстати, задачу считаю решенной, ничего плохого нет. Слава богу.

  • Уважаемый(ая) AndreyMust19, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Возвращение Трояна.
      От Ипташ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.10.2011, 10:20
    2. ATI Radeon HD 4650/4670: новая жизнь для старого компьютера
      От ALEX(XX) в разделе Новости аппаратного обеспечения
      Ответов: 4
      Последнее сообщение: 23.10.2009, 01:40
    3. Возвращение L0phtCrack
      От santy в разделе Софт - общий
      Ответов: 0
      Последнее сообщение: 03.03.2009, 15:00
    4. Intel P45: новый чипсет не лучше старого
      От ALEX(XX) в разделе Новости аппаратного обеспечения
      Ответов: 0
      Последнее сообщение: 21.07.2008, 10:24
    5. Реинкарнация старого червя Worm.Gibe
      От Rene-gad в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 05.06.2008, 13:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00291 seconds with 21 queries