Подозрение на новое тело руткита/буткита

Доброго времени суток!

22.11.2012 (возможно, несколько ранее) в системе поселился зловред...

Особо заметных изменений в систему еще не внес:
1. Запуск системы визуально и по ощущениям не изменился;
2. Завершение работы стало немного продолжительнее, чем ранее;
3. Во время работы системы явно заметных изменений нет, за исключением следующих:
3.1. нагрузка на процессор - незначительно увеличилась (~ на 5-15%);
3.2. таблица маршрутизации:
- при наличии интернет-трафика в таблицу маршрутизации самопроизвольно добавляются маршруты;
- после перезапуска системы самопроизвольно добавленные маршруты не сохраняются;
- при отсутствии интернет-трафика маршруты самопроизвольно не добавляются;
- при ручном удалении самопроизвольно добавленных маршрутов данные маршруты повторно не появляются;
- в самопроизвольно добавляющихся маршрутах:
а) сетевой адрес - всегда разный (возможно по времени, или из полученных по сети пакетов);
б) маска сети - всегда /32 (255.255.255.255);
в) адрес шлюза - всегда соответствует системному шлюзу (указанному мной в настройках интерфейса);
г) интерфейс - всегда соответствует системному адресу (указанному мной в настройках интерфейса);
д) метрика - всегда равна единице;
3.3. в интернет-браузере (Mozilla Firefox 13.0.1) появилась незначительная задержка между моментами окончания ввода адреса и начала открытия страницы (возможно, используется перенаправление трафика).

Полный текст сообщения см. во вложении "virusinfo.txt".

Уважаемый(ая) [B]Zhazha[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\MENT\LOCALS~1\Temp\VFSUXLYJLH.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteWizard('TSW',2,2,true);
end.

[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Карантин выслал.

Повторюсь. Про "autorun.inf" и "VFSUXLYJLH.exe" я уже отписался во вложении "virusinfo.txt".

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
[url]http://virusinfo.info/showthread.php?t=40118[/url]
и приложите его в теме.

Лог находится во вложении "zwjesf1z.log" (имя файла соответствует GMER 1.0.15.15641, скачанному по указанной вами ссылке) - лог не полный!!!

ПРИЧИНА обрезанности лога:

1. GMER на стартовом сканировании отработал нормально (окно с иконкой консольного приложения и без надписи). После нажатия кнопки Scan (с помеченным диском C:\ [помечен по умолчанию]) по прошествии нескольких секунд молча "выпал" из ОЗУ.

2. При повторном запуске, GMER на стартовом сканировании отработал нормально (окно с такой же иконкой и с надписью "GMER 1.0.15.15641"). После нажатия кнопки Scan (диск C:\ помечен по умолчанию) по прошествии нескольких секунд снова молча "выпал" из ОЗУ.

3. Деактивировал Comodo и Dr.Web. Повторно запустил GMER. На стартовом сканировании отработал нормально (окно с такой же иконкой и с такой же надписью). После нажатия кнопки Scan (диск C:\ помечен по умолчанию) по прошествии нескольких секунд выдал стандартное окно ошибки приложения XP (в момент сканирования \Ntfs), но основное окно осталось рабочим. Поэтому, во вложении "zwjesf1z.log" содержится только то, что GMER смог сохранить по нажатию кнопки Save.

Каталог с файлами XP, содержащими информацию об ошибке GMER, я сохранил, могу выложить.

Не вижу у вас ничего подозрительного.

[QUOTE=Nikkollo;943450]Не вижу у вас ничего подозрительного.[/QUOTE]
[SIZE=1]
И это все???
А ничего, что за окном ноябрь и следующий год - 13-й?
Ничего, что эксперты Anti-Malware.ru, анализируя уходящий год, отмечают относительное затишье в появлении новых вирусных алгоритмов, и при этом также отмечают увеличение количества модификаций буткитов???

Вы, возможно, сомневаетесь, но я практически уверен, что кому-то кто-то в ноябре 2008-го тоже сказал, что "ничего нет". И сколько потом админов ночами не спали, чтоб избавиться от Conficker??? (Он же: Downup, Downadup, Kido.) А сколько лет понадобилось, чтоб "поймать за хвост" Flame???

Допустим, система чиста...
Тогда будьте так добры, не сочтите за нескромность, скажите, пожалуйста, ЧЕЙ это код впиндюривает левые роуты? Кому нужны каналы связи с левыми адресами? Microsoft-у??? Adobe??? Dr.Web-у??? Ну, ваше мнение? Кому??? Или скажете, что это - динамическая маршрутизация?

Список адресов по левым роутам (остальные не помню) см. во вложении "ipsinfo.txt".
А, ведь, среди них: Украина, Российская Федерация, Литовская Республика, Соединенные Штаты Америки.

И с какого такого перепугу, позвольте спросить, GMER свалился по ошибке при проверке "\Ntfs" и, как следствие, так и не завершил сбор информации о системе???

Почему зеркало MFT находится "черт знает где" (в начале диска), а не ровно по средине (кластер 4114296 [26,958%] вместо кластера 7630871 [50,0%])???

Почему начало самой MFT смещено приблизительно на -5% от обычного (кластер 747467 вместо кластера 786432)?

Пару раз насиловал свободный хард: создавал Active Primary Partitions разных размеров с установкой точно такой же ОС-и, занулял MBR и VBR, создавал снова, заливал всякий мусор и дефрагментировал - и все это вперемешку др. с др. по нескольку раз - так и не добился смещения ни самой MFT (ее начала), ни ее зеркала.

Я три дня ковырял систему, прежде чем обратиться.
И я практически уверен, что "зараза" пролезла, прикрылась, но ничего популярного затянуть не успела, поскольку система в инет практически не выходила, пока я ею занимался.

И опять же, повторюсь. Было желание и была возможность поймать и передать в Dr.Web, Kaspersky, Simantec.

И вот итог. Пока я велся на ваши "инет выключи", "собери логи", "инет включи", "собери логи", "НИЧЕГО НЕ ВИЖУ"... Систему почти полностью сожрали...

Да, маршруты больше не появляются.
Почти постоянная загрузка ЦП на 100% на уровне апаратных прерываний, если это о чем-то говорит.

Dr.Web (который в системе), таки, умудрился отловить старый Trojan.Hooker.262, Trojan.Hooker.263 (дата модификации файла с телом: 28.07.2000 01:15, создан: 25.11.2012 18:37, пойман: 25.11.2012 18:37, добавлен в АВ-базу 23.10.2007).

Случаем не подскажете, зачем новому руткиту/буткиту старый троян?

Не нужна помощь. Все. Система под снос с полной очисткой всего харда.

Закрывай тему. Удаляй акаунт. Здесь не с кем советоваться.

Ресурс для домохозяек.
[/SIZE]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]