-
Junior Member
- Вес репутации
- 53
Подозрение на KernelMode Rootkit под Windows7
Привет.
ОС - Windows 7 Профессиональная со всеми имеющимися патчами.
Столкнулся с проблемой. На комп не устанавливается антивирус Avira. Просто тихо мирно завершается работа установщика и всё. Никаких аварийных завершений. Стал разбираться. Process Monitor ничего интересного не показывает в конце сессии вижу только события ThreadExit и ProcessExit.
Был установлен антивирус MS Essentials. Был потому что я его снёс. Комп был подключен к интернету. Успели потыкать по линкам в осле и початится в ICQ.
Включаю AVZ давлю на старт. Показывает в окне лога, вагон и маленькую тележку перехватов в netapi32.dll и ещё в одной dll'е (связянной со счётчиками производительности). Как только дело доходит до обнаружения KernelMode руткитов AVZ аварийно завершается (выскакивает окно о том что обращение по неверному адресу). В процесс эксплорере никаких подозрительных процессов не вижу. Просканил комп последними Dr.Web LiveCD и Avira Rescue CD. Доктор Веб тупит и обзывает файл из дистрибутива авиры вирусом, этот файл тут же был отослан на анализ в авиру - ответ KNOWN CLEAN. Также ругается на HiJackThis.exe. Авира rescueCD молчком - ничего не обнаружила.
В безопасном режиме также avz виснет, авира не устанавливается.
ОК, делаем ход конем. Переименовываю руками исполняемый файл avz в абракадабру. Есть продвижение. AVZ начинает сканировать диск С:, а раньше он до этого момента не доходил. После сканирования снова крах.
Ладно, делаем ход ферзём. Скачиваю полиморфный AVZ отсюда. Запускаю и полиморфный avz отрабатывает до победного конца. Все трюки проделываю в обычном режиме. Помимо перехватов функций в dll, обнаруживается целая банда скрытых процессов.
Подопытный комп у меня на рабочем столе, т.ч. если надо ещё какие-то логи, то без проблем.
Делаю скрипты по правилам и посчу сюда. Прошу помощи коллеги, какие будут предложения?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Sveta\AppData\Local\Temp\FLXZMNIB.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем такой скрипт в AVZ:
Код:
begin
CreateQurantineArchive('C:\quarantine.zip');
end.
Пришлите карантин quarantine.zip по ссылке "прислать запрошенный карантин" вверху темы.
Последний раз редактировалось kps; 21.01.2010 в 19:32.
-
-
-
-
Junior Member
- Вес репутации
- 53
kps,
Если не секрет, какого вирлаба?
Что-нибудь проясняется? Что это за штука? KernelMode rootkit или просто какой-то хитрый вирус? Может какой подозрительный драйвер поискать на файловой системе?
Правда у меня почти нулевой опыт с Windows7.
-
Подозрительный файл отправлен на анализ в антивирусную лабораторию (вирлаб) Лаборатории Касперского. Они его проверят, и скажут свой вердикт.
-
-
Junior Member
- Вес репутации
- 53
Какой пароль ставится на архив с карантином?
Поставил IDA Pro и хочу поковырятся в файле.
Добавлено через 8 минут
Про пароль прошу прощения, сам нашёл в справке.
Глянул я в этот файлик. Это вроде RootkitRevealer.exe от Марка Руссиновича.
Последний раз редактировалось zinovik; 21.01.2010 в 11:51.
Причина: Добавлено
-
Присланный файл чистый. Сделайте такой лог:
http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 53
Это последний лог который я могу предоставить, отдаю комп на реинасталл, т.к. клиент требует.
-
В логе ничего плохого не обнаружил. Проблемы могут быть связаны с тем, что не все используемое ПО совместимо с новой ОС Win 7.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
kps
В логе ничего плохого не обнаружил. Проблемы могут быть связаны с тем, что не все используемое ПО совместимо с новой ОС Win 7.
Да, ну может быть. Только вот почему-то у производителя давно заявлена поддержка windows 7. Я лично установил авиру v9 на 13 компов с Windows7 без всяких проблем.
Почему тогда обычный avz.exe зависает при сканировании системы? Почему тогда нормально работает полиморфный avz.pif?
Почему сейчас когда комп уже с отформатированным диском и на него залит свежий Win7 авира установилась нормально?
Может там действительно была криво ОС установлена, а может быть там был какой-то новый неведомый антивирусам (avira, drweb, kaspersky) kernel-mode руткит...
Тему можно закрыть.
-
Сообщение от
zinovik
Почему тогда обычный avz.exe зависает при сканировании системы? Почему тогда нормально работает полиморфный avz.pif?
В полиморфном AVZ совместимость с новой ОС м.б. лучше, т.к. он обновляется чаще стандартной версии и у него нередко бывают сделаны улучшения.
Сообщение от
zinovik
Почему сейчас когда комп уже с отформатированным диском и на него залит свежий Win7 авира установилась нормально?
Никто не говорил, что Авира не совместима. М.б. другой софт глючил, что мешало установке Авиры.
Сообщение от
zinovik
а может быть там был какой-то новый неведомый антивирусам (avira, drweb, kaspersky) kernel-mode руткит...
Не исключено, но наши средства диагностики его не показали.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-