Unknown Rootkit ?

Всем привет!
На компьютере было установленно ОС Windows XP SP 2
и KIS 7.0.1.325 c.d.e с актуальными базами.

Подозрительная активность была замечена сразу после посещения следующих ссылок
через браузер FireFox 3.0.1 с включенным дополнением NoScript 1.7.7:
[quote][URL]http://download.nai.com/products/mcafee-avert/stingerdocs/stinger_epo_30_instructions.txt[/URL]
[URL]http://download.nai.com/products/mcafee-avert/stng399.exe[/URL]
[URL]http://vil.nai.com/vil/stinger/polipstinger.asp[/URL]
[URL]http://softobzor.ru/load/2577.html[/URL]
[URL]http://www.izcity.com/lib/04102004/mcafee-avert-stinger-2-4-0.htm[/URL]
[URL]http://download.chip.eu/ru/McAfee-AVERT-Stinger-3.1_103340.html[/URL]
[URL]http://www.softportal.com/software-2838-mcafee-avert-stinger.html[/URL]
[URL]http://soft.softodrom.ru/ap/p45.shtml[/URL]
[URL]http://www.google.ru/search?complete=1&hl=ru&newwindow=1&client=firefox-a&rls=org.mozilla%3Aru%3Aofficial&hs=FRs&q=McAfee+Stinger&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=lang_ru&aq=-1&oq=[/URL]
[URL]http://www.softpedia.com/get/Antivirus/McAfee-AVERT-Stinger.shtml[/URL]
[URL]http://soft.liveinternet.ru/mcafee_avert_stinger_v2_2_0-632-32/[/URL]
[URL]http://soft.liveinternet.ru/mcafee_avert_stinger_v2_3_9-1271-2/[/URL]
[URL]http://www.help-antivirus.ru/antivir_besplatno_mcafee.php[/URL]
[URL]http://vil.nai.com/VIL/stinger/[/URL][/quote]По второй сверху ссылке был скачен файл McAfee Stinger v3.9.9 и был запущен под правами Администратора. Во время сканирования этой скаченой утилитой, KIS выдал сообщение об изменени исполняемого файла IE 7, чуть позже изменился исполняемый файл FireFox 3.0.1 и Mozilla Thunderbird 2.0.0.16.
Была проведена проверка с помощью утилиты AVZ 4.30 с свежими базами. В результате обнаружены новые, которых до этого небыло, перехваты WinAPI функций:

[quote]Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:[B]WSASocketA[/B] (82) перехвачена, метод APICodeHijack.JmpTo[10002AF8]
Функция ws2_32.dll:[B]WSASocketW[/B] (83) перехвачена, метод APICodeHijack.JmpTo[10002B13]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:[B]InternetConnectA[/B] (230) перехвачена, метод
APICodeHijack.JmpTo[10002AC2]
Функция wininet.dll:[B]InternetConnectW[/B] (231) перехвачена, метод
APICodeHijack.JmpTo[10002ADD][/quote] и многих других API-функций. Всех их обьединяет метод APICodeHijack.JmpTo

А также AVZ показал:
Файл: C:\Program Files\Internet Explorer\iexplore.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ
Файл: C:\Program Files\Mozilla Firefox\firefox.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ

Также AVZ при проверке процесса Firefox.exe (до перезагрузки компьютера)
писал, что реальный размер файла должен быть другим (и указывал какой). Но к сожалению в тот момент я не занёс его в карантин.
Но после перезагрузки, больше такого сообщения не выдавал.

Антируткит avast! Antirootkit, version 0.9.6 зарегистрировал несколько скрытых
веток реестра:
[quote]Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\Y%Q
NIQBN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] DMPortGUID=(binary value) **HIDDEN**[/quote]Подозрительные файлы, такие как изменившиеся исполняемые файлы браузеров, почтовика и Стингера я отправил в антивирусные лаборатории. Жду от них ответа.

Если предположение что изменение браузеров и почтовиков связано с обновлениями их дополнений.Это действительно имело место. Но волнуют имеено новые перехваты API-функций, которых раньше небыло. И если предположить что это Стингер установил User-Mode перехватчик, то почему его действие отражается даже после перезагрузки? Тогда как найти виновника этих перехватов и нейтрализовать? Пробовал в AVZ ставить галку, чтобы нейтрализовывать User-Mode руткиты: Он написал что всё успешно, но при повторном сканировании показал всё тоже самое. (в AVZ включен AVZPM до перезагрузки)

P.S. Также было проведено полное сканирование KIS-ом и CureIT со свежими базами, на максимальных настройках сканирования. Без результата.

выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\system32\cmfdll32.dll','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

[quote=V_Bond;265567]
QuarantineFile('C:\WINDOWS\system32\cmfdll32.dll','');
[/quote]

Да, я забыл сказать про эту библиотеку. Она легальная, это от Comodo Memory Firewall (программная защита от переполнения буфера)/

Вот ещё что произошло... я сейчас ещё раз перезагрузился и KIS выдал подряд несколько раз сообщение что изменился исполняемый файл SVCHOST.exe :?

комодо нужно удалить два файевола - причина всех ваших проблем ...

[quote=V_Bond;265581]комодо нужно удалить два файевола - причина всех ваших проблем ...[/quote]
V_Bond, это не фаервол. Он не следит за сетевыми приложениями и пакетами данных. Он уже давно стоит. Никаких перехватов API-функций не осуществляет. Поэтому конфликтов не вызывает. Он лишь следить за переполнением буфера в приложениях.

Вы возможно его путаете с Comodo firewall , это разные продукты

сделайте как положено лог слгласно пункта 8 правил ...

V_Bond, спасибо, уже всё выяснил. Изменение IE7 обьяснилось удалением ненужного ActiveX компонента.
Виновник перехватов был обнаружен. Это действительно перехват вела динамическая библиотека cmfdll32.dll. Зря волновался. Всем спасибо.