-
Junior Member
- Вес репутации
- 61
Не удаляется вирус в \drivers
Привет,
На одном из сайтов заразился вирусом (IE8 с последними обновлениями пропустил ), SpiderGuard сразу указал на вирус в system32, конечно, удалил, но в процессах появился qttask.exe кушающий 100% одного из ядер, и не завершаемый. Заметил, что qttask.exe запускается при запуске IE, после переименования в qttask1.exe (он в папке Quick Time) перестал запускаться. Еще в system32 появилось несколько абракадабр.ехе, некоторые SpiderGuard определил, некоторые нет, но конечно все вирусы - удалил.
Проверил Microsoft Security Essentials - нашел trojan:WinNT/Bubnix.gen!A в C:\WINDOWS\system32\drivers\feizpuvt.sys, лечение которого вызывало ошибку в MSE "Error code 0x8007001f. Присоединенное к системе устройство не работает." Смешно
Далее, проверил AVZ, нашел два сомнительных момента -
во-первых,
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 8050446C (284)
Функция NtCreateKey (29) перехвачена (806237B6->BA6A80E0), перехватчик spya.sys
Функция NtEnumerateKey (47) перехвачена (80623FF6->BA6C6CA2), перехватчик spya.sys
Функция NtEnumerateValueKey (49) перехвачена (80624260->BA6C7030), перехватчик spya.sys
Функция NtOpenKey (77) перехвачена (80624B88->BA6A80C0), перехватчик spya.sys
Функция NtQueryKey (A0) перехвачена (80624EAE->BA6C710, перехватчик spya.sys
Функция NtQueryValueKey (B1) перехвачена (806219EE->BA6C6F8, перехватчик spya.sys
Функция NtSetValueKey (F7) перехвачена (80621D3C->BA6C719A), перехватчик spya.sys
- чем сомнительно - что после перезагрузки windows AVZ показывает все тоже самое, только перехватчик меняет последние две буквы (видел spse.sys, spta.sys, самого файла найти не смог)
И во-вторых, то самое
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "feizpuvt"
Удалить feizpuvt.sys не удалось, в т.ч. через "отложенное удаление" avz.
Такая ситуация на данный момент, что скажете?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\jcuzjziznc.sys','');
DeleteService('maryyfgks');
QuarantineFile('C:\WINDOWS\system32\Drivers\feizpuvt.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\avnjuuas.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\avnjuuas.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\feizpuvt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\jcuzjziznc.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи + такой http://www.gmer.net/
-
-
+ к V_Bond
1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте C:\WINDOWS\system32\Drivers\feizpuvt.sys в другую папку и переименуйте
3. Удалите файл в исходном месте
4. Загрузитесь в нормальном режиме и отключите антивирус
5. Запакуйте переименованный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
6. Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Пока проделал только действия V_Bond, скрипт выполняется, завершает работу Windows, пропадает рабочий стол, остается синий экран и курсор мышки, дальше все повисает, только reset.
Папка карантина появляется пустая (кстати, просто проводником скопировать feizpuvt.sys не дает - "устройство не работает").
Логи AVZ думаю что не изменились.
GMER сразу при запуске говорит про rootkit и предлагает проверить все.
Если проверять все (заняло где-то полтора часа), появляется сообщение "warning у вас тут изменения руткитом" и дальше все виснет намертво.
Если проверять все кроме Files, то можно сохранить лог, но при выходе из GMER получается blue screen.
Иш, какие вирусы пошли!
thyrex с LiveCD буду разбираться, подключить винчестер к другому компьютеру весьма затруднительно.
---upd---
Эх, была у меня единственная чистая болванка, поставил я на нее BartPE LiveCD, запустился, а там местный FileManager глючит так что в дереве все поля пустые - не показывает имена директорий-файлов, но хуже что этот BartPE не увидел мой винт, так что ничего и сделать нельзя .. Придется завтра уже искать новый диск и другой LiveCD ...
Последний раз редактировалось Commilfo; 25.02.2010 в 02:30.
-
Junior Member
- Вес репутации
- 61
Удалил C:\WINDOWS\system32\Drivers\feizpuvt.sys (выслал карантин).
Но остается еще "перехватчик spya.sys", и какие-то tmp появились.
Новые логи прилагаю. GMER про руткиты уже не кричит, как раньше - теперь он spya.sys (точнее, сейчас это spao.sys) руткитом не считает.
-
Junior Member
- Вес репутации
- 61
Есть ли какие-нибудь идеи, как поймать перехватчика spya.sys? Файла такого не существует. MSE/DrWeb вирусов не находят. Но, время от времени, какой-нибудь обычный процесс начинает постоянно занимать 100% ядра, например, taskmgr.exe или lsass.exe, и если это системный процесс, как последний, незавершаемый, все виснет, окошки не перерисовываются, только reset. Иногда IE/Chrome подвисает, так что только завершать процесс и запускать заново .. Вирус живет и что-то творит!
-
Это не вирус:
Код:
C:\Program Files\DAEMON Tools Lite\daemon.exe
Его драйвер.
-
-
в логах ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 61
Хм .. Что ж тогда все так глючить стало.
daemon у меня всегда стоял, но до сих пор ни разу не бывало в логах AVZ "перехватчика spxx.sys". И зачем он меняет эти буквы xx. И GMER его определял руткитом перед этим ..
Ладно, авось, тогда - спасибо за помощь!
-
Сообщение от
Commilfo
И GMER его определял руткитом перед этим ..
Руткитом был C:\WINDOWS\system32\Drivers\feizpuvt.sys
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \feizpuvt.sys - Rootkit.Win32.Agent.aioy ( DrWEB: Trojan.NtRootKit.5980, BitDefender: Gen:Rootkit.Nixoa.1, AVAST4: Win32:Rootkit-gen [Rtk] )
-