-
Junior Member
- Вес репутации
- 52
Паразитный трафик интернет, Подозрение на rootkit
Добрый день!
С компьютера идет паразитный трафик интернет (со слов провайдера с моего компьютера идет вируснаяя атака). Проверка Антивирусом Касперского и DrWeb Cure it ничего не дала (все чисто).
После проверки AVZ, появилось подозрение на rootkit.
Код:
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=084700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B700
KiST = 80504428 (284)
Функция NtCreateKey (29) перехвачена (806225A2->B9EA80E0), перехватчик sphs.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80622DE2->B9EC6CA2), перехватчик sphs.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8062304C->B9EC7030), перехватчик sphs.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80623938->B9EA80C0), перехватчик sphs.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80623C5C->B9EC710 , перехватчик sphs.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8062065C->B9EC6F8 , перехватчик sphs.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80620C62->B9EC719A), перехватчик sphs.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00092D84
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89DE11F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89DE11F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8961E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8961E1F8 -> перехватчик не определен
Проверка завершена
Последний раз редактировалось pig; 08.02.2010 в 16:45.
Причина: умял простыню (достала)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\eed10.sys','');
QuarantineFile('C:\WINDOWS\system32\df7C.sys','');
QuarantineFile('C:\WINDOWS\system32\d3b8.sys','');
QuarantineFile('C:\WINDOWS\system32\bcdA.sys','');
QuarantineFile('C:\WINDOWS\system32\1776.sys','');
QuarantineFile('C:\WINDOWS\system32\1b0B.sys','');
QuarantineFile('C:\WINDOWS\system32\3c42.sys','');
QuarantineFile('C:\WINDOWS\system32\4603.sys','');
QuarantineFile('C:\WINDOWS\system32\4a812.sys','');
QuarantineFile('C:\WINDOWS\system32\6e8F.sys','');
QuarantineFile('C:\WINDOWS\system32\7de13.sys','');
QuarantineFile('C:\WINDOWS\system32\8f414.sys','');
QuarantineFile('C:\WINDOWS\system32\14aE.sys','');
QuarantineFile('C:\WINDOWS\system32\0ed4.sys','');
QuarantineFile('C:\WINDOWS\system32\0af7.sys','');
DeleteService('eed10');
DeleteService('1b0B');
DeleteService('3c42');
DeleteService('4603');
DeleteService('4a812');
DeleteService('6e8F');
DeleteService('7de13');
DeleteService('8f414');
DeleteService('1776');
DeleteService('14aE');
DeleteService('0ed4');
DeleteService('0af7');
DeleteService('df7C');
DeleteService('d3b8');
DeleteService('bcdA');
DeleteFile('C:\WINDOWS\system32\0af7.sys');
DeleteFile('C:\WINDOWS\system32\0ed4.sys');
DeleteFile('C:\WINDOWS\system32\14aE.sys');
DeleteFile('C:\WINDOWS\system32\8f414.sys');
DeleteFile('C:\WINDOWS\system32\7de13.sys');
DeleteFile('C:\WINDOWS\system32\6e8F.sys');
DeleteFile('C:\WINDOWS\system32\4a812.sys');
DeleteFile('C:\WINDOWS\system32\4603.sys');
DeleteFile('C:\WINDOWS\system32\3c42.sys');
DeleteFile('C:\WINDOWS\system32\1b0B.sys');
DeleteFile('C:\WINDOWS\system32\1776.sys');
DeleteFile('C:\WINDOWS\system32\bcdA.sys');
DeleteFile('C:\WINDOWS\system32\d3b8.sys');
DeleteFile('C:\WINDOWS\system32\df7C.sys');
DeleteFile('C:\WINDOWS\system32\eed10.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите карантин (если он не пустой) согласно приложению 3 правил, по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил.
Папка Карантин пустая.
-
По логу более подозрительного не вижу.
Паразитный трафик продолжается?
-
-
Junior Member
- Вес репутации
- 52
При подключении интернет, есть небольшой трафик на ip 172.16.2.4 на 139 и 445 порты.
Смущает еще оставшаяся инфа при выполнении скрипта AVZ
Код:
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=084700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B700
KiST = 80504428 (284)
Функция NtCreateKey (29) перехвачена (806225A2->B9EA80E0), перехватчик spqz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80622DE2->B9EC6CA2), перехватчик spqz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8062304C->B9EC7030), перехватчик spqz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80623938->B9EA80C0), перехватчик spqz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80623C5C->B9EC7108), перехватчик spqz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8062065C->B9EC6F88), перехватчик spqz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80620C62->B9EC719A), перехватчик spqz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00092D84
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E531F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89E531F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8959F1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8959F1F8 -> перехватчик не определен
Проверка завершена
P.S. что это за перехватчик? при выполнении данного скрипта и удалении файла, после перзагрузки при повторной проверке снова появляется перехватчик, но уже под другим именем, к примеру spcg.sys. И что за обработчики ISP присутствуют в системе?
Последний раз редактировалось pig; 08.02.2010 в 16:46.
Причина: умял простыню
-
Это SPTD, используется Daemon Tools и Alcohol, безопасен.
-
-
Junior Member
- Вес репутации
- 52
Т.е. на данный момент система чиста?
а что насчет обработчиков ISP?
а какая зараза была?
-
По этим логам чисто.
Сделайте на всякий случай еще лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.
Перехваты в обработчиках IRP тоже от SPTD.
Рекомендую:
Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
Обновите Internet Explorer до актуальной версии (даже если не используете).
Обновите Adobe Reader до актуальной версий.
-
-
Junior Member
- Вес репутации
- 52
Прошу прощения, если нарушаю правила!
Прикладываю логи с последнего сканирования.
Просьба проанализировать на наличие какой-либо заразы.
Брандмауэр Windows остается неактивным (доступа к настройкам нет) - из-за вирусов?
-
Junior Member
- Вес репутации
- 52
из личного сообщения, я так понял ответа не ждать?
-
Зловредного по логам не нашел.
-
-
Junior Member
- Вес репутации
- 52
Ок! Спасибо за помощь!
С Уважением,
