Подозрение на стелс-руткит

Система не тормозит, не проявляет подозрительной сетевой активности, антивирусы/антитрояны и прочие подобные средства не находят ничего подозрительного, кроме утилит, которыми я пользуюсь сам и которые не являются вирусами как таковыми, но я вижу подозрительный драйвер в памяти, без имени и без привязки к файлу на диске. Данный драйвер загружается и в безопасном режиме. При попытке сделать дамп памяти по адресу этого драйвера gmer-ом система (XP.sp3 легальная корпоративная) уходит в BSOD (PAGE_FAULT_IN_NONPAGED_AREA, STOP: 0x00000050), однако мне удалось сделать его дамп с помощью RootkitUnhooker-а, но полученный дамп на первый взгляд не выглядит подозрительным.
Кроме того, некоторые системные функции (NtCreateKey, NtCreateThread, NtDeleteKey, NtDeleteValueKey, NtLoadKey, NtOpenProcess, NtOpenThread, NtReplaceKey, NtRestoreKey, NtSetValueKey, NtTerminateProcess) перехвачены кем-то неопределенным, но указатели ведут не в тот драйвер, о котором я писал выше, а куда-то еще. В безопасном режиме эти хуки не установлены.

Вопрос в том, как выловить откуда грузится описанный выше драйвер и куда ведут хуки?

Странно, но файл virusinfo_syscheck.zip не прицепился, хотя я на 100% уверен, что добавлял его. Вот он.

1) загрузите по правилам отправки карантина файл virusinfo_cure.zip из папки с протоколами AVZ,
2) прикрепите протокол GMER.

В логе gmer-а есть ссылки на устройства "\Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3" и "\Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e ", так вот, по крайней мере они создаются сдампленным мною драйвером, по всей видимости, т.к. в его теле я вижу шаблон этих имен. Но драйвер вы пока не просили, поэтому не высылаю. virusinfo_cure.zip выслал по ссылке из шапки.

И дамп тоже давайте, посмотрим на него. :)

Вообще, такой драйвер иногда попадается на различных компьютерах. Возможно, его появление связано с работой какого-либо ПО из числа установленных в системе.

Дамп выслал по ссылке из шапки. Возможно, что драйвер и вполне легальный, но методы его внедрения мне не нравятся. Да и перехваченные еще кем-то функции тоже.

Ответа по вашему дампу все еще нет.

Сегодня ко мне обратилась старая знакомая, работающая совсем в другом месте, говорит, что комп тормозит и глючит, подозревает вирусы, но разные антивирусы ничего не находят. Постоянно стоял NOD32, потом его снесли, поставили авиру, потом Symantec endpoint protection, но он конфликтовал с авирой, с ее слов, его тоже снесли. Я попросил ее установить свежий avz и запустить в безопасном режиме стандартные скрипты 2 и 3, потом прислать результаты мне. У меня тоже богатый опыт борьбы с неизвестными вирусами/троянами/червями. В итоге [B]у нее обнаружился тот же самый не опознаваемый драйвер[/B]. Ничего общего в софте, кроме, пожалуй, офисных программ (MSO, WinRar, 1С и т.д.) да антивирусов (avira, avz) между компами нет. Логи с ее компа прилагаю (virusinfo_cure.zip пуст). Дамп драйвера с ее компа зашлю по ссылке из шапки. Дампы различаются, разумеется, из-за разной позиции в памяти, но основные сигнатуры общие. Сегодня она будет проверять домашний комп по всем правилам из этого раздела. Я пожалуй тоже проверю свои.

Логи переделать. Нужны логи из нормального, а не безопасного режима

[B][I]thyrex[/I][/B], смысла переделывать пока нет. Логи я привел только для того, чтобы показать, что данный драйвер запускается не только у меня, причем запускается и в безопасном режиме тоже.

Так и не понял, о каком драйвере идет речь :(
Неужели этот?
[QUOTE].sys[/QUOTE]

Да, о нем.

Такое бывает в некоторых логах. Причина неизвестна. Но вряд ли связана с заражением

Когда у вас в компе сидит неизвестный драйвер, работающий напрямую с дисковой подсистемой, не имеющий имени, непонятно откуда загружающийся, когда и как, загрузку которого не ловит avzpm, когда системные функции, отвечающие за работу с реестром и запуск и завершение процессов и нитей указывают в неизвестную область памяти, как бы не принадлежащую ни одному процессу, включая систему, то да, конечно же это не заражение, ага. Это просто Большой Брат следит за вами, все так и задумано. Понимаю.

Если серьезно, то это не ответ -- неизвестная причина. Простые зловреды я ловлю сам уже десяток с лишним лет. Часто попадаются вирусы, не определяемые даже самыми свежими антивирусами с самыми свежими базами и они обычно не представляют никакой сложности, ибо прошли те времена, когда вирусы внедрялись в тело исполняемых файлов, современные зловреды обычно очень легко и просто выцепить и обезвредить подручными средствами. Это первый случай, когда я обратился за помощью и конечно я рассчитывал на то, что ответы будут более квалифицированными.

[QUOTE=ooptimum;470993]Когда у вас в компе сидит неизвестный драйвер, работающий напрямую с дисковой подсистемой, не имеющий имени, непонятно откуда загружающийся[/QUOTE]
Откройте лог AVZ и взгляните на первые две строчки в модулях пространства ядра. :)

[B]Aleksandra[/B], а что, собственно, вызывает вашу улыбку? Про то, что драйвера dump_WMILIB.sys и dump_atapi.sys являются частью системы, я знаю. Но первый драйвер в списке, который кстати совершенно некоректно назван в логах avz просто как ".sys" (по всей видимости avz по умолчанию добавляет это расширение всем драйверам), а на деле его имя состоит из пробельных символов, и про который я и говорил, что он вызывает мои подозрения, никакого отношения к ним не имеет. Если вы взглянете на упомянутые вами строки еще раз, то увидите, что хотя первые два драйвера имеют одинаковый размер в памяти (кратный размеру страницы), что встречается не столь уж и редко, но они имеют разные базовые адреса. Так что вы увидели такого, что вызвало вашу улыбку? Может там сказано откуда загружается данный драйвер и я это просто не заметил? Судя по тому, что вы процитировали и ответили, вы знаете откуда он грузится. Так может вы и мне это скажете?

В AVZ меню "Сервис/Модули пространства ядра".

[QUOTE='ooptimum;470600']Сегодня ко мне обратилась старая знакомая, работающая совсем в другом месте. Логи с ее компа прилагаю (virusinfo_cure.zip пуст). [/QUOTE]
Не валите все в одну кучу. Нам трудно будет разобраться.
Каждый больной в отдельную палату(тему).

Павел, вы читаете невнимательно. Во-первых, я далеко не новичок в работе с компьютерами (опыт работы -- 22 года), сам когда-то занимался низкоуровневым системным программированием, и давно уже работаю системным администратором в достаточно крупных компаниях, с обычными вирусами бороться умею без посторонней помощи. Во-вторых, я не прошу разбираться с тем компом. Я просто показал, что на совершенно другом компьютере, с другим набором ПО, установленным в другой организации, установлен тот же самый драйвер, т.е. это не такая уж и редкость. Вопрос в том, что это такое? На то, чтобы сидеть с ядерным отладчиком и дизассемблером у меня просто нет времени, а не навыков, поэтому я и выслал дампы драйвера профессионалам, как я считаю, в чьих прямых интересах не только рутинная борьба с тривиальными зловредами, но и с такими, которые заставляют наморщить мозг и могут представлять скрытую угрозу для многих компьютеров.

[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]

[B]Aleksandra[/B], в том-то и дело, что там не сказано ни [U]откуда[/U] грузится этот драйвер, ни какое у него имя. Я это пытаюсь объяснить, это видно и в логах, но видимо лучше показать. Смотрите (первый в списке, выделен курсором):
[URL=http://photofile.ru/users/ooptimum/96170528/111864545/][IMG]http://photofile.ru/photo/ooptimum/96170528/small/111864545.jpg[/IMG][/URL]

[QUOTE=NickGolovko;468885]Вообще, такой драйвер иногда попадается на различных компьютерах. Возможно, его появление связано с работой какого-либо ПО из числа установленных в системе.[/QUOTE]

Вы оказались правы. У меня он загружается драйвером из состава Alcohol 120% (xxxxbus.sys), а у знакомой -- драйвером из состава Daemon Tools (up55bus.sys), похоже, что они пользуются одинаковыми драйверами. Выяснить это удалось при помощи утилиты Kernel Detective и ядерного отладчика. Так что можете занести это в свою базу знаний, если такая есть.

По поводу хуков ситуация очень странная -- они пропали сами-собой еще до того, как я выяснил кем загружается безымянный драйвер. Причем, ни от антивирусов и других аналогичных программ не поступало никаких сообщений о том, что кто-то обезврежен, ни я не делал ничего такого, что могло привести к такому эффекту. Так что, что это было -- я не знаю. Правда, у меня включено автоматическое обновление системы и возможно это как-то связано с этим -- например, обновился уязвимый компонент системы и зловред потерял доступ к компьютеру.