Показано с 1 по 19 из 19.

Помогите, пожалуйста: Rootkit, перехваченные функции, wwwznw32 в автозапуске. (заявка № 83858)

  1. #1
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62

    Thumbs up Помогите, пожалуйста: Rootkit, перехваченные функции, wwwznw32 в автозапуске.

    CureIt вычистил несколько вирусов. Стандартные скрипты AVZ выявили проблемы. Логи прилагаю.

    Еще замеченные странности:

    1. еще до лечения CureIt авторизация в windows-домене при запуске системы стала длиться очень долго. Если отключить сеть, то авторизация проходит значительно быстрее. После лечения длительность авторизации сохранилась.

    2. после лечение CureIt стала хаотично появляться ошибка в сервисе DCOM, из-за которой происходит автоматический shutdown системы (дается минута на сохранение данных). Связь ошибки с какими-то моими действиями пока не обнаружена.

    Помогите избавиться от нечисти.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по uvmiy и выберите "Turn Run Off". Перезагрузку подтвердите.

    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\thumbs.db','');
     QuarantineFile('C:\WINDOWS\system32\syssec32.exe','');
     QuarantineFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
     QuarantineFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\cpuz134_x32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\uvmiy.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\uvmiy.sys');
     DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
     DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
     DeleteFile('C:\WINDOWS\system32\syssec32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Secure Star');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
     DeleteFile('C:\thumbs.db');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  4. #3
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    Пофиксил uvmiy.
    После перезагрузки выполнил скрипт AVZ.
    После перезагрузки выполнил следующий скрипт AVZ.
    Прикрепил карантин.

    Результат загрузки

    Файл сохранён как 100726_160411_quarantine_4c4d79bbf10cd.zip
    Размер файла 761312
    MD5 b7ba597f404ba05f3fe62f46fcdb6e01
    Файл закачан, спасибо!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    Сделал логи.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
    O4 - Startup: wwwzuc32.exe
    O4 - Startup: srvklw32.exe
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
     DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
     BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  8. #7
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    Выполнил HJ и AVZ.

    После перезагрузки сделал логи.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в безопасном режиме
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
     DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
     BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  10. #9
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    Выполнил в безопасном режиме скрипт AVZ. после перезагрузки сделал лог.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Выполните в Online Solutions Autorun Manager. В меню драйверов правой кнопкой по nprdjw и выберите "Turn Run Off". Перезагрузку подтвердите.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\nprdjw.sys','');
     DeleteService('nprdjw');
     DeleteFile('C:\WINDOWS\system32\Drivers\nprdjw.sys');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи AVZ

  12. #11
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    Прошу прощения, но я не вижу в Online Solutions Autorun Manager В меню драйверов ни одной записи, содержащей "nprdjw". В других разделах тоже ничего похожего не нашел.

    Выполнять, независимо от этого, AVZ-скрипт?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    выполняйте

  14. #13
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    Выполнил скрипт AVZ, после перезагрузки файл quarantine.zip не обновился (дата модификации и размер совпадали с последним присланным карантином) . Создал его по аналогии с первыми сообщениями в теме, где также просили прислать карантин.

    Сейчас повторно сделаю два лога AVZ.

    Добавлено через 1 минуту

    Карантин загрузил

    Результат загрузки

    Файл сохранён как 100728_124701_quarantine_4c4fee85072b6.zip
    Размер файла 1182
    MD5 aed48c3e3b7d618c67ad10f5ffcde097
    Последний раз редактировалось MStar; 28.07.2010 в 12:47. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    Сделал логи AVZ

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    что с проблемой?

  17. #16
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    С момента начала лечения самопроизвольных выключений системы не зафиксировано. Считаю, что проблема устранена.

    Авторизация в виндовс-домене по времени длится столько же, сколько и до начала лечения. Возможно, дело не в вирусах, а в особенностях виндовс-домена?

    Волнует вот что. AVZ при каждом выполнении логов выделяет красным строки:

    Код:
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10004F06]
    Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
    Функция ntdll.dll:ZwClose (922) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
     Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10004BA6]
    Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001516]
    Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[10001696]
    Функция NtAdjustPrivilegesToken (0B) перехвачена (805E7787->AA22219E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtConnectPort (1F) перехвачена (8058C565->AA221A1C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtCreateFile (25) перехвачена (80583328->AA221E60), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtCreateKey (29) перехвачена (8057E91D->AA2228D0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtCreatePort (2E) перехвачена (805A002A->AA221902), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtCreateSection (32) перехвачена (80574B66->AA223176), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtCreateSymbolicLinkObject (34) перехвачена (805EDE56->AA22237C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtCreateThread (35) перехвачена (8058DC45->AA2214D2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtDeleteKey (3F) перехвачена (8059A334->AA222556), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtDeleteValueKey (41) перехвачена (80598F8B->AA2226F6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtDuplicateObject (44) перехвачена (80588216->AA22137E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtLoadDriver (61) перехвачена (805AFF96->AA222E16), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtOpenFile (74) перехвачена (8058349C->AA222022), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtOpenProcess (7A) перехвачена (80588702->AA2210C8), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtOpenSection (7D) перехвачена (805818AD->AA221CF6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtOpenThread (80) перехвачена (805E8939->AA221226), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtRenameKey (C0) перехвачена (8065CB78->AA222C8A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtSetSystemInformation (F0) перехвачена (805B1BC8->AA222FB6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtSetValueKey (F7) перехвачена (8058928C->AA222A96), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtShutdownSystem (F9) перехвачена (806555CF->AA221C90), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtTerminateProcess (101) перехвачена (80595695->AA2217D6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    Функция NtTerminateThread (102) перехвачена (8058A8E7->AA221698), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
    это зловреды, или остатки COMODO Firewall?

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от MStar Посмотреть сообщение
    или остатки COMODO Firewall?
    да

  19. #18
    Junior Member Репутация
    Регистрация
    03.05.2007
    Сообщений
    22
    Вес репутации
    62
    В таком случае, считаю тему закрытой.

    Большое Человеческое Спасибо вам за помощь!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\starozhilov._dominion_\главное меню\программы\автозагрузка\wwwzuc32.exe - Packed.Win32.Krap.ar ( BitDefender: Gen:Variant.Koobface.1, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\windows\system32\drivers\uvmiy.sys - Rootkit.Win32.Agent.bier ( DrWEB: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) MStar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 14.03.2012, 00:16
    2. перехваченные функции
      От iriska_ip в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.01.2011, 20:33
    3. перехваченные функции
      От AgentOrange в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:31
    4. Ответов: 30
      Последнее сообщение: 22.02.2009, 03:04
    5. Ответов: 4
      Последнее сообщение: 01.08.2008, 10:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00601 seconds with 17 queries