-
Junior Member
- Вес репутации
- 50
BSOD stop 0D1 + Trojan.NtRootkit.9659
Доброго времени суток.
Небольшая предистория: система стала часто (иногда сразу же после перезагрузки) выпадать в синий экран с такими параметрами - driver_irql_not_less_or_equal stop 0x000000D1(0x00000000, 0x00000002, 0x00000000, 0x00000000) без указания файла вызывающего падение.
Теперь история: воспользовавшись bluescreenview нашел этот файл - pmsaxxw.sys , лежащий в Windows/system32/drivers/. На ещё одном домашнем компе в одноименной папке такого файла не оказалось и я решил проверить систему с CureIt. Курейт выдал что этот самый pmsaxxw.sys и ещё файл beptrm.sys (лежал там же) заражены Trojan.NtRootkit.9659 Лечением в безопасном режиме проблему решить не удалось - файлы не удалялись.
Некоторые заметки: система выпадала в синий экран всегда когда был включен интернет; если интернет не включался, компьютер работал в обычном режиме.
Нужна помощь. Необходимые файлы прилагаются.
Заранее спасибо за все возможные ответы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
Дико извиняюсь, я совсем забыл об одной вещи. bluescreenview показал ещё два файла вызывающих падение системы: afd.sys и tcpip.sys. Сверка с "нормальным" компьютером показала что они неизменены, поэтому я о них тут поначалу и не упомянул, тем более что CureIt пропустил их как здоровые.
-
Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по pmsaxxw и выберите "Turn Run Off". Перезагрузку подтвердите.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('C:\WINDOWS\system32\Drivers\pmsaxxw.sys','');
DeleteService('0e207cddad9cdcd9');
DeleteService('7edb7524d8c182fd');
DeleteService('97c0f086da94d217');
QuarantineFile('C:\WINDOWS\TEMP\8600bdb8af9f','');
QuarantineFile('C:\WINDOWS\TEMP\11160a2f76168','');
QuarantineFile('C:\WINDOWS\TEMP\86004ca21108','');
DeleteService('ca71300540307cf8');
QuarantineFile('C:\WINDOWS\TEMP\113209b1a206e','');
DeleteFile('C:\WINDOWS\TEMP\113209b1a206e');
BC_DeleteSvc('ca71300540307cf8');
DeleteFile('C:\WINDOWS\TEMP\86004ca21108');
DeleteFile('C:\WINDOWS\TEMP\11160a2f76168');
DeleteFile('C:\WINDOWS\TEMP\8600bdb8af9f');
BC_DeleteSvc('97c0f086da94d217');
BC_DeleteSvc('7edb7524d8c182fd');
BC_DeleteSvc('0e207cddad9cdcd9');
DeleteFile('C:\WINDOWS\system32\Drivers\pmsaxxw.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 50
Извиняюсь что не сразу среагировал. Итак, карантин закачан, отчет закачки:
Результат загрузки
Файл сохранён как 101015_155808_quarantine_4cb841d04d413.zip
Размер файла 545825
MD5 9122aa15cb08910dac96375dc946a790
Файл закачан, спасибо!
Лог gmer'a прикрепляю.
Такой вопрос, а со вторым руткитником (beptrm.sys) всё так же делать?
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится 949eo0dd.exe(GMER) и запустите этот батник(1.bat):
Код:
949eo0dd.exe -del service beptrm
949eo0dd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\beptrm"
949eo0dd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\beptrm"
949eo0dd.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 50
Сделал. Прикрепляю полный набор.
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по beptrm и выберите "Turn Run Off", потом подтвердите перезагрузку.
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\beptrm.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\beptrm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('beptrm');
BC_DeleteSvcReg('beptrm');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Не получилось.
После отключенияв ОСАМе beptrm, компьютер не может загрузиться. При загрузке, сразу после появления информации о материнке , возникает чёрный экран и на этом весь процесс прекращается. Кулера при этом, в т.ч. и процессорный, работают в обычном режиме, как если бы система нормально прогрузилась а просто выключен монитор. Попытался войти в безопасном режиме. Процесс виснет на загрузке драйверов на файле isapnp.sys. О загрузке последней работоспособной версии речи вообще не идет, то же самое как и при обычной загрузке - черный экран.
Вот как-то так.
-
Junior Member
- Вес репутации
- 50
Всем спасибо.
Топик можно закрывать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\pmsaxxw.sys - Rootkit.Win32.Bubnix.bba ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )
-