-
Junior Member
- Вес репутации
- 61
Rootkit-AgentRss-нет сети
Уважаемые helper-ы, прошу помочь в случае с руткитом на офисном ПК знакомых (winXP, выделенка, основная машина с бух. базами и общими файлами для всей раб. группы).
Хронология.
Пришел по просьба: проверить ПК после (якобы) удаления вирусов и установить антивирус вместо временного.
Симптомы: сайты пингуются но все браузеры не грузят страницы, доступа по локалке нет.
Выполнено.
1) Предвар. действия. Esetnod32 Smart (30-дневная демо-версия) и CureIt (в безоп. режиме) - ничего не найдено. При неоднократной установке AVPTollkit сообщения об ошибочных файлах (каждый раз разных) в дистрибутиве -> прерывание установки.
2) Работа с HiJack и AVZ. В условиях отсутствия Инета первоначальная работа шла НЕ по методике.
Сделано: отключ. восстановления, запуск HiJack и пофиксены порядка 20 элементов (типа гугл, яндекс-тулбаров и т.п.). Лог не постится в связи с запретом на загрузку непрошенных файлов. Запуск AVZ и запуск станд. скрипта лечения руткитов при включенных драйверах (Guard и расш. режима) не в безопасном режиме. Найден руткит, после перезагрузки появилась сеть, лог не запостен. Чтение и сохранение страницы с Методикой для дальнейшей работы.
3) Работа по Методике: подготовлены файлы syscheck, syscure, HiJack-log И подготовлены на другом ПК для посылки в форум.
В логе после скрипта "подготовка файлов для раздела "Помогите" видны сообщения о перехваченных функциях.
4) На другом ПК по собственному ротозейству неотключенный Eset smart с обновленными базами удалил вирус в зипе в папке infected (на проверяемом ПК файл остался нетронутым). Eset выдал сообщение "Модифицированный Win32.Agent.RSS троянская программа - файл очищен удалением в ...temp\avz00001.dta'
5) На настоящий момент: режим восстановления отключен, Инет после перезагрузки после окончания работы по Методике и отключении драйверов AVZ есть в Mozille, в MS IE и Chrome страницы не грузятся, локалка работает.
Планы: успешно вычистить руткит, включить восстановление, перекинуть общие файлы с бухгалтерского на другой ПК, сделать его основным файл-сервером рабочей группы
Заранее спасибо!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteService('mkdrv');
DeleteFile('C:\WINDOWS\mkdrv.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 61
СПАСИБО!
Спасибо за супер-оперативный ответ!
Смогу выполнить все сказанное в среду-четверг.
-
Junior Member
- Вес репутации
- 61
работа согласно рекомендациям
Здравствуйте, polword. Согласно Вашим рекомендациям сделано:
1) Все, что указано в сообщении от 21.12 (исправления в HJ + скрипт-1
При этом:
- после выполнения 1-го скрипта в окне AVZ видны проскочившие "красные" сообщения;
- затем сообщение об ошибке "Диск не найден" (скриншот сохранить не удалось - вызов всех действий при активном модальном окне блокирован); -после неоднократных нажатий на "Игнор" скрипт прошла перезагрузка;
- после нее появилась сеть (в т.ч. ESET выдал предупреждении о невозможности обновить а/вир базы;
- одновременно появилось окно "Мастер нового оборудования"; был снят по "Отмена".
2) Запуск скрипта-2 (для карантина) - прошел успешно.
3) Попытка получить syscheck. zip - успешно
4) Попытка вызова hijack - неудачно: программа не запускается.
5) Появилось сообщение антивируса ESET: произошла ошибка при загрузке файлов обновления
6) Попытка скачать Hj в виде зипа с 1.exe и 1.cmd: после скачивания невозможно раскрыть архив НИ на один из дисков - сообщение "нет места на диске".
7) Попытка переименовать имеющийся Hijack.exe в 1.exe: неудачноЕ программеа не запускается.
Перезагрузка (несколько раз) неудачно - после ввода логина/пароля возврат к окну регистрации в системе.
9) "Жесткий" останов системы (длительное удержание кн. вкл).
10) Перезагрузка: запущен переименованный (но мой старый) HJack, получен лог. Файлы посланы согласно рекомендации (запрос карантина и Правила).
11) Запущено сканирование ESET Smart для каталога Windows\*. Результат ожидаем - ничего не найдено. Продолжаю работу с AVZ по сканированию системы.
Дополнение. Причина незапуска программ - предполагаю, что забыл удалить драйвер AVZ Guard. Хотя вроде бы делал это после перезагрузки...
12) В процессе последующей работы стал появляться BSOD со ссылкой на файл ujmynzgo.sys по причине driver unloaded without cancelling pending operations
13) При попытке загрузки последней версии cureIt опять BSOD
14) При попытке в безопасном режиме запустить старую (от 16.12) версию CureIt - ничего не найдено.
15) При попытке выполнить п.3 Правил дополнительно к данным рекомендациям находится и нейтрализуется руткит:
Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60AF1846]
>>> Код руткита в функции CryptAcquireContextA нейтрализован
Функция advapi32.dllestroyPrivateObjectSecurity (179) перехвачена, метод APICodeHijack.JmpTo[60AF16C6]
>>> Код руткита в функции DestroyPrivateObjectSecurity нейтрализован
Функция advapi32.dll:SystemFunction035 (621) перехвачена, метод APICodeHijack.JmpTo[60AF1736]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (214) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (215) перехвачена, метод APICodeHijack.JmpTo[671F1376]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
---
В системе установлена программа TaxCom общения с нал. службой через Интернет.
Спасибо!
Последний раз редактировалось anpspb; 24.12.2010 в 20:00.
Причина: Появление BSOD
-
Плохого не видно
Выполнить скрипт
Код:
begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
-
Когда выплните скрипт, тогда и синева, думаю, прекратится
Сообщение от
anpspb
" Код руткита в функции CryptAcquireContextA нейтрализован"
Функция перехвачена CryptoPro
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Большое спасибо! А нельзя ли как-то узнать тип/вид вируса - не мог ли он по сети другие компы заразить. Симптомов еще нет, локалка работает нормально, инет есть, но вдруг "затаился"
-
Junior Member
- Вес репутации
- 61
27/12/10 -по-прежнему BSOD
Здравствуйте, уважаемые helper-ы! Очередной рапорт "с фронта"
1) После загрузки выполнен скрипт (без первоначально установленных драйверов мониторинга и guard).
2) Запущен скрипт. После его выполнения на несколько сек. мигнуло аварийное окно "Access violation" - и перезагрузка. Т.к. скрипт не предусматривает остановки, то сохранить скриншот не смог.
3) После перезагрузки выполнен станд. скрипт 3 (лечение) с предв. запущенными драйверами. В логе видны те же строки о нейтрализации руткита (файл вложил).
4) После удаления из памяти драйверов и попытки просмотреть htm-файл лога - BSOD.
5) После перезагрузки запуск станд. скрипта 7 обновления и лечения (Kasp.Lab) - те же предупреждения, на сканировании файлов, повторяющих работу скрипта 3 - снял avz.
Локалка работает, интернет есть, однако по-прежнему после загрузки пытается установить какое-то оборудование.
Hijack-ом с прошлого раза ничего не фиксил.
Вопрос: действительно руткит или ложная тревога? Спасибо!
Планы: последними AVPTools и CureIt еще раз просканировать в безопасном режиме.
-
неизвестное устройство - удалите через диспетчер устройств.
в остальном подозрительного нет.
-
-
Сообщение от
anpspb
3) После перезагрузки выполнен станд. скрипт 3 (лечение) с предв. запущенными драйверами. В логе видны те же строки о нейтрализации руткита (файл вложил).
Зачем Вы принудительно включаете AVZGuard и AVZPM? Из-за этого все Ваши беды
Отключите драйвер AVZPM, удалите неизвестное устройство и проверьте, не появилось ли оно после перезагрузки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-