Rootkit-AgentRss-нет сети

[anpspb]

Уважаемые helper-ы, прошу помочь в случае с руткитом на офисном ПК знакомых (winXP, выделенка, основная машина с бух. базами и общими файлами для всей раб. группы).

Хронология.

Пришел по просьба: проверить ПК после (якобы) удаления вирусов и установить антивирус вместо временного.

Симптомы: сайты пингуются но все браузеры не грузят страницы, доступа по локалке нет.

Выполнено.
1) Предвар. действия. Esetnod32 Smart (30-дневная демо-версия) и CureIt (в безоп. режиме) - ничего не найдено. При неоднократной установке AVPTollkit сообщения об ошибочных файлах (каждый раз разных) в дистрибутиве -> прерывание установки.
2) Работа с HiJack и AVZ. В условиях отсутствия Инета первоначальная работа шла НЕ по методике.
Сделано: отключ. восстановления, запуск HiJack и пофиксены порядка 20 элементов (типа гугл, яндекс-тулбаров и т.п.). Лог не постится в связи с запретом на загрузку непрошенных файлов. Запуск AVZ и запуск станд. скрипта лечения руткитов при включенных драйверах (Guard и расш. режима) не в безопасном режиме. Найден руткит, после перезагрузки появилась сеть, лог не запостен. Чтение и сохранение страницы с Методикой для дальнейшей работы.
3) Работа по Методике: подготовлены файлы syscheck, syscure, HiJack-log И подготовлены на другом ПК для посылки в форум.
В логе после скрипта "подготовка файлов для раздела "Помогите" видны сообщения о перехваченных функциях.
4) На другом ПК по собственному ротозейству неотключенный Eset smart с обновленными базами удалил вирус в зипе в папке infected (на проверяемом ПК файл остался нетронутым). Eset выдал сообщение "Модифицированный Win32.Agent.RSS троянская программа - файл очищен удалением в ...temp\avz00001.dta'
5) На настоящий момент: режим восстановления отключен, Инет после перезагрузки после окончания работы по Методике и отключении драйверов AVZ есть в Mozille, в MS IE и Chrome страницы не грузятся, локалка работает.
Планы: успешно вычистить руткит, включить восстановление, перекинуть общие файлы с бухгалтерского на другой ПК, сделать его основным файл-сервером рабочей группы
Заранее спасибо!!

[polword]

1.Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\mkdrv.sys','');
 DeleteService('mkdrv');
 DeleteFile('C:\WINDOWS\mkdrv.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[anpspb]

Спасибо за супер-оперативный ответ!
Смогу выполнить все сказанное в среду-четверг.

[anpspb]

Здравствуйте, polword. Согласно Вашим рекомендациям сделано:
1) Все, что указано в сообщении от 21.12 (исправления в HJ + скрипт-1
При этом:
- после выполнения 1-го скрипта в окне AVZ видны проскочившие "красные" сообщения;
- затем сообщение об ошибке "Диск не найден" (скриншот сохранить не удалось - вызов всех действий при активном модальном окне блокирован); -после неоднократных нажатий на "Игнор" скрипт прошла перезагрузка;
- после нее появилась сеть (в т.ч. ESET выдал предупреждении о невозможности обновить а/вир базы;
- одновременно появилось окно "Мастер нового оборудования"; был снят по "Отмена".

2) Запуск скрипта-2 (для карантина) - прошел успешно.
3) Попытка получить syscheck. zip - успешно
4) Попытка вызова hijack - неудачно: программа не запускается.
5) Появилось сообщение антивируса ESET: произошла ошибка при загрузке файлов обновления
6) Попытка скачать Hj в виде зипа с 1.exe и 1.cmd: после скачивания невозможно раскрыть архив НИ на один из дисков - сообщение "нет места на диске".
7) Попытка переименовать имеющийся Hijack.exe в 1.exe: неудачноЕ программеа не запускается.
Перезагрузка (несколько раз) неудачно - после ввода логина/пароля возврат к окну регистрации в системе.
9) "Жесткий" останов системы (длительное удержание кн. вкл).
10) Перезагрузка: запущен переименованный (но мой старый) HJack, получен лог. Файлы посланы согласно рекомендации (запрос карантина и Правила).
11) Запущено сканирование ESET Smart для каталога Windows\*. Результат ожидаем - ничего не найдено. Продолжаю работу с AVZ по сканированию системы.

Дополнение. Причина незапуска программ - предполагаю, что забыл удалить драйвер AVZ Guard. Хотя вроде бы делал это после перезагрузки...

12) В процессе последующей работы стал появляться BSOD со ссылкой на файл ujmynzgo.sys по причине driver unloaded without cancelling pending operations
13) При попытке загрузки последней версии cureIt опять BSOD
14) При попытке в безопасном режиме запустить старую (от 16.12) версию CureIt - ничего не найдено.
15) При попытке выполнить п.3 Правил дополнительно к данным рекомендациям находится и нейтрализуется руткит:
Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60AF1846]
>>> Код руткита в функции CryptAcquireContextA нейтрализован
Функция advapi32.dllestroyPrivateObjectSecurity (179) перехвачена, метод APICodeHijack.JmpTo[60AF16C6]
>>> Код руткита в функции DestroyPrivateObjectSecurity нейтрализован
Функция advapi32.dll:SystemFunction035 (621) перехвачена, метод APICodeHijack.JmpTo[60AF1736]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[671F1376]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
---
В системе установлена программа TaxCom общения с нал. службой через Интернет.
Спасибо!

[thyrex]

Плохого не видно

Выполнить скрипт

Код:

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

[anpspb]

Скрипт смогу запустить в понедельник, сразу же выложу здесь ответ.

Плохого не видно - это хорошо. Но комп стал непредсказуемо сваливаться в синий экран и в конце загрузки всегда запускает мастер установки нового оборудования: какой-то драйвер ищет? или побочное действие? и кто? зловред?

И вдобавок при запуске стандартного скрипта лечения (вложить его helper-ы не предлагали, поэтому вывел фрагмент отчета в текст) появляются сообщения " Код руткита в функции CryptAcquireContextA нейтрализован" и др., возникающие при запуске AVZ после каждой загрузки... наверное, AVZ не врет.
Или это новогодняя шутка? Бухгалтер должен отправить отчет в налоговую с этого компа в ближайшие дни... если не успею кокнуть зловреда в понедельник - мне будет не до шуток
А запускать AVZ после каждой загрузки компа для нейтрализации вируса - пусть и bat-файлом - как-то не хочется: бог знает, что юзера сотворят в твое отсутствие... .

[thyrex]

Когда выплните скрипт, тогда и синева, думаю, прекратится

" Код руткита в функции CryptAcquireContextA нейтрализован"

Функция перехвачена CryptoPro

[anpspb]

Большое спасибо! А нельзя ли как-то узнать тип/вид вируса - не мог ли он по сети другие компы заразить. Симптомов еще нет, локалка работает нормально, инет есть, но вдруг "затаился"

[anpspb]

Здравствуйте, уважаемые helper-ы! Очередной рапорт "с фронта"
1) После загрузки выполнен скрипт (без первоначально установленных драйверов мониторинга и guard).
2) Запущен скрипт. После его выполнения на несколько сек. мигнуло аварийное окно "Access violation" - и перезагрузка. Т.к. скрипт не предусматривает остановки, то сохранить скриншот не смог.
3) После перезагрузки выполнен станд. скрипт 3 (лечение) с предв. запущенными драйверами. В логе видны те же строки о нейтрализации руткита (файл вложил).
4) После удаления из памяти драйверов и попытки просмотреть htm-файл лога - BSOD.
5) После перезагрузки запуск станд. скрипта 7 обновления и лечения (Kasp.Lab) - те же предупреждения, на сканировании файлов, повторяющих работу скрипта 3 - снял avz.
Локалка работает, интернет есть, однако по-прежнему после загрузки пытается установить какое-то оборудование.
Hijack-ом с прошлого раза ничего не фиксил.

Вопрос: действительно руткит или ложная тревога? Спасибо!
Планы: последними AVPTools и CureIt еще раз просканировать в безопасном режиме.

[polword]

неизвестное устройство - удалите через диспетчер устройств.
в остальном подозрительного нет.

[thyrex]

3) После перезагрузки выполнен станд. скрипт 3 (лечение) с предв. запущенными драйверами. В логе видны те же строки о нейтрализации руткита (файл вложил).

Зачем Вы принудительно включаете AVZGuard и AVZPM? Из-за этого все Ваши беды

Отключите драйвер AVZPM, удалите неизвестное устройство и проверьте, не появилось ли оно после перезагрузки

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены