Показано с 1 по 12 из 12.

Подозрение на KernelMode Rootkit под Windows7 (заявка № 67725)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    5
    Вес репутации
    26

    Thumbs down Подозрение на KernelMode Rootkit под Windows7

    Привет.

    ОС - Windows 7 Профессиональная со всеми имеющимися патчами.

    Столкнулся с проблемой. На комп не устанавливается антивирус Avira. Просто тихо мирно завершается работа установщика и всё. Никаких аварийных завершений. Стал разбираться. Process Monitor ничего интересного не показывает в конце сессии вижу только события ThreadExit и ProcessExit.

    Был установлен антивирус MS Essentials. Был потому что я его снёс. Комп был подключен к интернету. Успели потыкать по линкам в осле и початится в ICQ.

    Включаю AVZ давлю на старт. Показывает в окне лога, вагон и маленькую тележку перехватов в netapi32.dll и ещё в одной dll'е (связянной со счётчиками производительности). Как только дело доходит до обнаружения KernelMode руткитов AVZ аварийно завершается (выскакивает окно о том что обращение по неверному адресу). В процесс эксплорере никаких подозрительных процессов не вижу. Просканил комп последними Dr.Web LiveCD и Avira Rescue CD. Доктор Веб тупит и обзывает файл из дистрибутива авиры вирусом, этот файл тут же был отослан на анализ в авиру - ответ KNOWN CLEAN. Также ругается на HiJackThis.exe. Авира rescueCD молчком - ничего не обнаружила.

    В безопасном режиме также avz виснет, авира не устанавливается.

    ОК, делаем ход конем. Переименовываю руками исполняемый файл avz в абракадабру. Есть продвижение. AVZ начинает сканировать диск С:, а раньше он до этого момента не доходил. После сканирования снова крах.

    Ладно, делаем ход ферзём. Скачиваю полиморфный AVZ отсюда. Запускаю и полиморфный avz отрабатывает до победного конца. Все трюки проделываю в обычном режиме. Помимо перехватов функций в dll, обнаруживается целая банда скрытых процессов.

    Подопытный комп у меня на рабочем столе, т.ч. если надо ещё какие-то логи, то без проблем.

    Делаю скрипты по правилам и посчу сюда. Прошу помощи коллеги, какие будут предложения?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
      ClearQuarantine;
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      QuarantineFile('C:\Users\Sveta\AppData\Local\Temp\FLXZMNIB.exe','');
      BC_ImportQuarantineList;
      BC_Activate;
      RebootWindows(true);  
    end.
    Компьютер перезагрузится.

    Затем такой скрипт в AVZ:
    Код:
    begin
      CreateQurantineArchive('C:\quarantine.zip');
    end.
    Пришлите карантин quarantine.zip по ссылке "прислать запрошенный карантин" вверху темы.
    Последний раз редактировалось kps; 21.01.2010 в 19:32.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Ждем ответа вирлаба.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    5
    Вес репутации
    26
    kps,

    Если не секрет, какого вирлаба?
    Что-нибудь проясняется? Что это за штука? KernelMode rootkit или просто какой-то хитрый вирус? Может какой подозрительный драйвер поискать на файловой системе?
    Правда у меня почти нулевой опыт с Windows7.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Подозрительный файл отправлен на анализ в антивирусную лабораторию (вирлаб) Лаборатории Касперского. Они его проверят, и скажут свой вердикт.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    5
    Вес репутации
    26
    Какой пароль ставится на архив с карантином?
    Поставил IDA Pro и хочу поковырятся в файле.

    Добавлено через 8 минут

    Про пароль прошу прощения, сам нашёл в справке.

    Глянул я в этот файлик. Это вроде RootkitRevealer.exe от Марка Руссиновича.
    Последний раз редактировалось zinovik; 21.01.2010 в 11:51. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Присланный файл чистый. Сделайте такой лог:
    http://virusinfo.info/showthread.php?t=40118
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    5
    Вес репутации
    26
    Это последний лог который я могу предоставить, отдаю комп на реинасталл, т.к. клиент требует.
    Вложения Вложения
    • Тип файла: log gmer.log (8.9 Кб, 4 просмотров)

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    В логе ничего плохого не обнаружил. Проблемы могут быть связаны с тем, что не все используемое ПО совместимо с новой ОС Win 7.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    5
    Вес репутации
    26
    Цитата Сообщение от kps Посмотреть сообщение
    В логе ничего плохого не обнаружил. Проблемы могут быть связаны с тем, что не все используемое ПО совместимо с новой ОС Win 7.
    Да, ну может быть. Только вот почему-то у производителя давно заявлена поддержка windows 7. Я лично установил авиру v9 на 13 компов с Windows7 без всяких проблем.

    Почему тогда обычный avz.exe зависает при сканировании системы? Почему тогда нормально работает полиморфный avz.pif?
    Почему сейчас когда комп уже с отформатированным диском и на него залит свежий Win7 авира установилась нормально?

    Может там действительно была криво ОС установлена, а может быть там был какой-то новый неведомый антивирусам (avira, drweb, kaspersky) kernel-mode руткит...

    Тему можно закрыть.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Цитата Сообщение от zinovik Посмотреть сообщение
    Почему тогда обычный avz.exe зависает при сканировании системы? Почему тогда нормально работает полиморфный avz.pif?
    В полиморфном AVZ совместимость с новой ОС м.б. лучше, т.к. он обновляется чаще стандартной версии и у него нередко бывают сделаны улучшения.

    Цитата Сообщение от zinovik Посмотреть сообщение
    Почему сейчас когда комп уже с отформатированным диском и на него залит свежий Win7 авира установилась нормально?
    Никто не говорил, что Авира не совместима. М.б. другой софт глючил, что мешало установке Авиры.

    Цитата Сообщение от zinovik Посмотреть сообщение
    а может быть там был какой-то новый неведомый антивирусам (avira, drweb, kaspersky) kernel-mode руткит...
    Не исключено, но наши средства диагностики его не показали.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) zinovik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. sp??.sys - Подозрение на RootKit, Перехватчик KernelMode
      От hogward в разделе Вредоносные программы
      Ответов: 42
      Последнее сообщение: 08.04.2013, 17:39
    2. RootKit Перехватчик KernelMode spno.sys
      От Pradromalo в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.10.2010, 14:51
    3. Ответов: 6
      Последнее сообщение: 21.09.2009, 12:37
    4. Подозрение на RootKit!
      От Jekon в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:53
    5. Подозрение на KernelMode RootKit
      От mrS в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.02.2009, 13:11

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01010 seconds with 21 queries