-
Junior Member
- Вес репутации
- 62
Помогите, пожалуйста: Rootkit, перехваченные функции, wwwznw32 в автозапуске.
CureIt вычистил несколько вирусов. Стандартные скрипты AVZ выявили проблемы. Логи прилагаю.
Еще замеченные странности:
1. еще до лечения CureIt авторизация в windows-домене при запуске системы стала длиться очень долго. Если отключить сеть, то авторизация проходит значительно быстрее. После лечения длительность авторизации сохранилась.
2. после лечение CureIt стала хаотично появляться ошибка в сервисе DCOM, из-за которой происходит автоматический shutdown системы (дается минута на сохранение данных). Связь ошибки с какими-то моими действиями пока не обнаружена.
Помогите избавиться от нечисти.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по uvmiy и выберите "Turn Run Off". Перезагрузку подтвердите.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\WINDOWS\system32\syssec32.exe','');
QuarantineFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
QuarantineFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\cpuz134_x32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uvmiy.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\uvmiy.sys');
DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\WINDOWS\system32\syssec32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Secure Star');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 62
Пофиксил uvmiy.
После перезагрузки выполнил скрипт AVZ.
После перезагрузки выполнил следующий скрипт AVZ.
Прикрепил карантин.
Результат загрузки
Файл сохранён как 100726_160411_quarantine_4c4d79bbf10cd.zip
Размер файла 761312
MD5 b7ba597f404ba05f3fe62f46fcdb6e01
Файл закачан, спасибо!
-
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 62
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O4 - Startup: wwwzuc32.exe
O4 - Startup: srvklw32.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 62
Выполнил HJ и AVZ.
После перезагрузки сделал логи.
-
- Выполните скрипт в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
BC_DeleteFile('C:\Documents and Settings\starozhilov._DOMINION_\Главное меню\Программы\Автозагрузка\srvklw32.exe');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 62
Выполнил в безопасном режиме скрипт AVZ. после перезагрузки сделал лог.
-
Выполните в Online Solutions Autorun Manager. В меню драйверов правой кнопкой по nprdjw и выберите "Turn Run Off". Перезагрузку подтвердите.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\nprdjw.sys','');
DeleteService('nprdjw');
DeleteFile('C:\WINDOWS\system32\Drivers\nprdjw.sys');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи AVZ
-
-
Junior Member
- Вес репутации
- 62
Прошу прощения, но я не вижу в Online Solutions Autorun Manager В меню драйверов ни одной записи, содержащей "nprdjw". В других разделах тоже ничего похожего не нашел.
Выполнять, независимо от этого, AVZ-скрипт?
-
-
-
Junior Member
- Вес репутации
- 62
Выполнил скрипт AVZ, после перезагрузки файл quarantine.zip не обновился (дата модификации и размер совпадали с последним присланным карантином) . Создал его по аналогии с первыми сообщениями в теме, где также просили прислать карантин.
Сейчас повторно сделаю два лога AVZ.
Добавлено через 1 минуту
Карантин загрузил
Результат загрузки
Файл сохранён как 100728_124701_quarantine_4c4fee85072b6.zip
Размер файла 1182
MD5 aed48c3e3b7d618c67ad10f5ffcde097
Последний раз редактировалось MStar; 28.07.2010 в 12:47.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
-
-
-
Junior Member
- Вес репутации
- 62
С момента начала лечения самопроизвольных выключений системы не зафиксировано. Считаю, что проблема устранена.
Авторизация в виндовс-домене по времени длится столько же, сколько и до начала лечения. Возможно, дело не в вирусах, а в особенностях виндовс-домена?
Волнует вот что. AVZ при каждом выполнении логов выделяет красным строки:
Код:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10004F06]
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
Функция ntdll.dll:ZwClose (922) перехвачена, метод APICodeHijack.JmpTo[10004FE6]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10004BA6]
Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001516]
Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[10001696]
Функция NtAdjustPrivilegesToken (0B) перехвачена (805E7787->AA22219E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtConnectPort (1F) перехвачена (8058C565->AA221A1C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateFile (25) перехвачена (80583328->AA221E60), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateKey (29) перехвачена (8057E91D->AA2228D0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreatePort (2E) перехвачена (805A002A->AA221902), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateSection (32) перехвачена (80574B66->AA223176), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805EDE56->AA22237C), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtCreateThread (35) перехвачена (8058DC45->AA2214D2), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtDeleteKey (3F) перехвачена (8059A334->AA222556), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtDeleteValueKey (41) перехвачена (80598F8B->AA2226F6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtDuplicateObject (44) перехвачена (80588216->AA22137E), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtLoadDriver (61) перехвачена (805AFF96->AA222E16), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenFile (74) перехвачена (8058349C->AA222022), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenProcess (7A) перехвачена (80588702->AA2210C8), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenSection (7D) перехвачена (805818AD->AA221CF6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtOpenThread (80) перехвачена (805E8939->AA221226), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtRenameKey (C0) перехвачена (8065CB78->AA222C8A), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtSetSystemInformation (F0) перехвачена (805B1BC8->AA222FB6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtSetValueKey (F7) перехвачена (8058928C->AA222A96), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtShutdownSystem (F9) перехвачена (806555CF->AA221C90), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtTerminateProcess (101) перехвачена (80595695->AA2217D6), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
Функция NtTerminateThread (102) перехвачена (8058A8E7->AA221698), перехватчик C:\WINDOWS\System32\DRIVERS\cmdguard.sys
это зловреды, или остатки COMODO Firewall?
-
Сообщение от
MStar
или остатки COMODO Firewall?
да
-
-
Junior Member
- Вес репутации
- 62
В таком случае, считаю тему закрытой.
Большое Человеческое Спасибо вам за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\starozhilov._dominion_\главное меню\программы\автозагрузка\wwwzuc32.exe - Packed.Win32.Krap.ar ( BitDefender: Gen:Variant.Koobface.1, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\uvmiy.sys - Rootkit.Win32.Agent.bier ( DrWEB: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan, AVAST4: Win32:Malware-gen )
-