Показано с 1 по 13 из 13.

Поймал вирус, возможно руткит (заявка № 85232)

  1. #1
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    7
    Вес репутации
    24

    Thumbs up Поймал вирус, возможно руткит

    Вчера (11.08.2010) после включения компьютера я открыл Оперу с несколькими вкладками. Почти сразу после этого появилось окно загрузки платформы Java и быстро промелькнуло какое-то окно. Похоже, что на каком-то из открытых мной сайтов находился эксплоит, использующий уязвимости Java. При этом пропал значок Антивируса Касперского (который был запущен) в трее. При попытке заново запустить антивирус ничего не произошло (avp.exe даже не появляется в диспетчере задач, по-видимому, вирус его мгновенно убивает). Пытался восстановить его, ничего не изменилось. После этого я скачал Dr.Web Cureit, отключил интернет и поставил проверку компьютера. Затем я отошел минут на 10, а когда пришел, обнаружил, что компьютер перезагрузился (при этом компьютер подключен через ИБП, возможность перезагрузки из-за скачка напряжения исключена). Я загрузил вдобавок к Cureit утилиту AVPTool, загрузился в безопасном режиме и проверил систему. Ни один антивирус ничего не нашел. Затем я загрузил компьютер в обычном режиме и проверил его при помощи AVZ, обновив предварительно базы. Вначале ничего кроме одной подозрительной dll (H:\Windows\system32\tgzcpre.dll) и кучи перехваченных функций (которые были и до этого) он не обнаружил. Затем я установил драйвер расширенного мониторинга процессов, перезагрузил компьютер и проверил его еще раз. AVZ обнаружил множество маскированных процессов, все с таким описанием: Маскировка процесса с PID=356, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 356). Интересно, что GMER при этом ничего опасного не нашел. Сегодня я сделал все необходимые логи и прошу вас о помощи в излечении компьютера. Извините, что так много написал, постарался изложить все, что может быть важным. Заранее спасибо за ответ.
    P.S. Отчет о проверке файла tgzcpre.dll на virustotal.com.
    Вложения Вложения
    Последний раз редактировалось AntX; 12.08.2010 в 11:00.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('MEMSWEEP2');
     DeleteService('MEMSWEEP2');
     BC_DeleteSvc('MEMSWEEP2');
     QuarantineFile('H:\Windows\system32\5715.tmp','');
     QuarantineFile('H:\Windows\system32\tgzcpre.dll','');
     DeleteFile('H:\Windows\system32\5715.tmp');
     DeleteFileMask('H:\Windows\system32\','*.tmp',false);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Закачайте файл ..\avz\quarantine.zip для анализа.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

    Ссылка на Вирустотал битая.

  4. #3
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    7
    Вес репутации
    24
    При попытке выполнения скрипта после выполнения пункта проверки 1.1 и начала 1.2 (поиск перхватчиков API, работающих в KernelMode) AVZ вылетает с ошибкой: Сигнатура проблемы:
    Имя события проблемы: APPCRASH
    Имя приложения: avz.exe
    Версия приложения: 4.34.0.0
    Отметка времени приложения: 2a425e19
    Имя модуля с ошибкой: advapi32.dll
    Версия модуля с ошибкой: 6.1.7600.16385
    Отметка времени модуля с ошибкой: 4a5bd97e
    Код исключения: c0000096
    Смещение исключения: 00022a53
    Версия ОС: 6.1.7600.2.0.0.256.1
    Код языка: 1049
    Дополнительные сведения 1: c396
    Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
    Дополнительные сведения 3: c396
    Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449.
    Перезагрузил компьютер, попробовал заново - то же самое. Попробовать запустить его в безопасном режиме?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от AntX Посмотреть сообщение
    При попытке выполнения скрипта после выполнения пункта проверки 1.1 и начала 1.2 (поиск перхватчиков API, работающих в KernelMode) AVZ вылетает с ошибкой
    Вы АВЗ от имени администратора запускаете?

  6. #5
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    7
    Вес репутации
    24
    Да.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    - Сделайте лог полного сканирования MBAM.

  8. #7
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    7
    Вес репутации
    24
    Сделал лог. Ошибка возникает именно из-за поиска руткитов, т.к. скрипт
    Код:
    begin
    SearchRootkit(true, true);
    end.
    завершается с той же ошибкой. Диск, на котором стоит система - H. На C стоит XP SP3, которой я уже давно не пользуюсь.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Удалите в МВАМ
    Код:
    Зараженные файлы:
    C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\BGf0ih8Gmb.log (Backdoor.Gootkit) -> No action taken.
    C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\cM7j1bgMFg.log (Backdoor.Gootkit) -> No action taken.
    C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\d0KM8Il76d.log (Backdoor.Gootkit) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\BGf0ih8Gmb.log (Backdoor.Gootkit) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\BgmCDkb8e1.log (Backdoor.Gootkit) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\cM7j1bgMFg.log (Backdoor.Gootkit) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\d0KM8Il76d.log (Backdoor.Gootkit) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\dAmLDcHnGH.log (Backdoor.Gootkit) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\kH71j6cH8c.log (Backdoor.Gootkit) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\lihg7kdi1d.log (Backdoor.Gootkit) -> No action taken.
    H:\Windows\System32\hosts (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    7
    Вес репутации
    24
    Спасибо, уже удалил, но файлы на диске C не представляют угрозы, а в файл hosts в папке system32 были дописаны пара строчек (не этим вирусом), отредактировал все как по умолчанию. После того, как AVZ деактивировал все руткиты, подозреваемая dll-ка была убрана из автозапуска, все упоминания о ней в реестре стерты, а антивирус переустановлен, удалось запустить KIS 2011. После обновления баз просканировал критические объекты и обнаружил, что эта dll (tgzcpre.dll), которая еще вчера детектировалась только одним антивирусом (Microsoft), а сегодня утром двумя (добавилась Panda) получила классификацию Trojan-Spy.Win32.Small.ckv. После процедуры лечения и перезагрузки компьютера проверил на максимальном уровне анализа весь системный диск и обнаружил в кеше Оперы пару десятков модификаций Exploit.Java.Agent.a, так что, мое предположение, как вирус попал на компьютер, скорее всего, оказалось правильным. Но интересно другое: после процедуры лечения и полной проверки касперским AVZ все равно продолжает находить множество маскированных процессов (описание: Маскировка процесса с PID=356, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 356). Gmer, Process Explorer и руткит-сканеры KIS'а и Dr.Web'а при этом ничего не обнаружили. Не уверен, что эти процессы связаны с пойманным вирусом, но где-то две недели назад, когда я последний раз сканировал систему при помощи AVZ, их не было. Да, и теперь AVZ не вылетает с ошибкой при попытке выполнения скрипта.
    P.S. Столько видел тестов и отзывов о "неубиваемости" касперского, а тут оказалось, что вируса, проникшего при помощи эксплоита, достаточно, чтобы полностью отключить и деактивировать включенный KIS с опцией самозащиты.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от AntX Посмотреть сообщение
    AVZ все равно продолжает находить множество маскированных процессов (описание: Маскировка процесса с PID=356, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 356).
    Это нормально.
    Цитата Сообщение от AntX Посмотреть сообщение
    оказалось, что вируса, проникшего при помощи эксплоита, достаточно, чтобы полностью отключить и деактивировать включенный KIS с опцией самозащиты.
    2 вопроса к Вам:
    1. Вы работаете в учётке с правами администратора?
    2. Доступ к Установкам КИС защищён паролем?

  12. #11
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    7
    Вес репутации
    24
    1. Да, но под Windows 7.
    2. Да, защищен.
    А эти маскированные процессы что-нибудь значат? Не зря же AVZ их находит и выделяет красным цветом.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Цитата Сообщение от AntX Посмотреть сообщение
    А эти маскированные процессы что-нибудь значат?
    На Windows 7 и Vista такие маскировки в порядке вещей
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    11.08.2010
    Сообщений
    7
    Вес репутации
    24
    Возможно, я сканировал другой версией AVZ, но пару недель назад такого не было. Поэтому это и показалось мне странным. Всем спасибо, думаю, тему можно считать решенной. Я проверил систему еще раз всем, чем можно, ничего подозрительного кроме этих процессов не обнаружил.

  • Уважаемый(ая) AntX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Поймал руткит.
      От sanya33 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.07.2012, 10:18
    2. Поймал руткит?
      От Sgray1 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 19.07.2012, 22:33
    3. Возможно руткит
      От Бонифаций в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.09.2009, 17:14
    4. поймал руткит
      От ak47 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.05.2009, 00:31
    5. Поймал руткит-спамбот Bulknet
      От simpson в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:17

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00302 seconds with 21 queries