-
Junior Member
- Вес репутации
- 51
Trojan.NtRootKit.9374
Добрый день!
Поймал на днях трояна, обитает в %windir%\system32\drivers под именем fevhcuo.sys. Заодно периодически создаёт в той же папке файлы mrxsmb.sys и uteyndax.sys. Причём, первый из них восстанавливается буквально через несколько секунд после ручного удаления:
Заодно и прописался в реестре в разделе со службами:
При сканировании утилитой DrWeb CureIt определяется как Trojan.NtRootKit.9374. Если по окончании проверки пометить на удаление, то при следующем запуске система отказывется грузиться, и приходится восстанавливаться на последнюю работающуу версию, где этот файл, естественно, присутствует.
После выполнения через AVZ скрипта «лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info» система также отказывается запускаться.
Запуск упомянутых выше утилит в безопасном режиме не помогает.
Ещё обнаружил в окне автозагрузки msconfig файл wwwznv32.exe, причём по указанному адресу ничего не было.
При попытке снять галочку создалась ещё одна такая же строчка. С неё уже снять галочку не получалось: при повторном запуске msconfig она восстанавливалась. Затем в какой определённый момент этот файл таки появился в папке автозагрузки, и удалить вручную его не получалось! Потом так же таинственно исчез, и повторно смоделировать данную ситуацию не получалось. После перезагрузки строчка осталось в одном экземпляре со снятой галкой, а автозагрузке также было пусто. Не знаю, правда, насколько это связано с исоходной проблемой, но так, на всякий случай…
И да, после этого подозрительно долго стал проходить процесс завершения работы Windows.
Логи их AVZ прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы надо отключить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Отключил.
Теперь перезагрузка происходит нормально, однако файл остаётся своём на месте.
Добавлено через 3 минуты
Нашёл вот похожую тему. Я так понял, ручное удаление с другого компа поможет? И что делать с перехватчиком spxx.sys, там вроде так и не разобрались…
Последний раз редактировалось ВасяЪ; 25.07.2010 в 11:39.
Причина: Добавлено
-
Не торопись, скрипт напишу для зачистки.
spxx.sys - детка Даемона, его не бойся.
Добавлено через 2 минуты
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bc745d1.exe','');
QuarantineFile('C:\WINDOWS\system32\7c97730b.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uteyndax.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\uteyndax.sys');
DeleteFile('C:\WINDOWS\system32\7c97730b.exe');
DeleteFile('C:\WINDOWS\system32\bc745d1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Сделать лог Гмером, как читать в "Чаво".
Прислать карантин по Привилам.
Последний раз редактировалось PavelA; 25.07.2010 в 12:27.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по fevhcuo и выберите "Turn Run Off", потом подтвердите перезагрузку.
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
Выполнить скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxsmb.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('fevhcuo');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
PavelA
Не торопись, скрипт напишу для зачистки.
Поздно 
Загрузился уже с Live CD и удалил вручную. После этого успешно зашёл в нормальном режиме. Затем залез в реестр и удалил его ветку (теперь она была доступна и отображалась полностью).
Скрипт запускать всё ещё имеет смысл? А то файлов bc745d1.exe и 7c97730b.exe вроде не видно нигде, но с другой стороны, в логах AVZ подозрительные фрагменты остались:
Код:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001453F8
Disable callback - уже нейтирализованы
Проверка IDT и SYSENTER завершена
Код:
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A2091F8 -> перехватчик не определен
Проверка завершена
Сообщение от
PavelA
Сделать лог Гмером, как читать в "Чаво".
Просканировал. Однако по окончании проверки он намертво завис, поэтому логов не осталось 
Попозже, может, попробую ещё раз. В результате же автоматической экспресс-проверки проверки был выдан девайс:
Код:
Device \FileSystem\Ntfs \Ntfs 8A2091F8
причём, судя по значению, тот же, на который и AVZ ругался.
Сообщение от
PavelA
Прислать карантин по Правилам.
Ну, карантина нету, т.к. скрипт не запускал, однако копию файла fevhcuo.sys я заархивировал и могу выслать, если надо.
-
Сообщение от
ВасяЪ
копию файла fevhcuo.sys я заархивировал и могу выслать, если надо.
Загрузите его в zip-архиве с паролем virus
через ссылку Прислать запрошенный карантин вверху этой темы.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
AndreyKa
Загрузите его в zip-архиве с паролем virus
через ссылку Прислать запрошенный карантин вверху этой темы.
Готово.
Код:
Файл сохранён как 100725_201445_virus_4c4c62f585b93.zip
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
PavelA
Сделать лог Гмером, как читать в "Чаво".
Таки сделал (см. вложение).
Гмер этот почему-то после запуска жутко вешает систему, порой так, что ни на какие мои действия не реагирует, и приходится выключать питание. Или это он всегда так?
Кстати, в логах AVZ до сих пор:
Код:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001453F8
Disable callback - уже нейтирализованы
Проверка IDT и SYSENTER завершена
Код:
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A2091F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A2091F8 -> перехватчик не определен
Проверка завершена
Или опять-таки ложная тревога, как и с spxx.sys?
Сообщение от
thyrex
Rootkit.Win32.Agent.bier
А есть какая-нибудь более подробная информация? Что он конкретно творит, чем опасен?
-
C:\DOCUME~1\Vasja\LOCALS~1\Temp\sfsvc.exe запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Все остальные Ваши примеры вполне безобидные
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \fevhcuo.rar - Rootkit.Win32.Agent.bier ( DrWEB: archive: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan )
-
