rootkit, перехватчик kernel32...

Поймал с флешки. Вставил, сработал авторан, и этого оказалось достаточно.
Позже, при просмотре на флешке обнаружились три файлика: autorun.inf smz.exe и библиотечка вроде MSVCR, также присутствовала скрытая папка System Volume Information.
После этого комп начал медленно грузиться и обрубилось сетевое соединение.
Начал искать гада, но кроме AVZ ни кто не увидел (респект автору). Искал в процессах штатными средствами, затем FAR, HijackThis и Sysinternal-овскими прогами. Filemon показывал на открытие файла в systemroot\temp\:.sys, потом перестал. Попытка взять процесс в карантин в утилите "процессы ядра" в AVZ не удалась.
Самое время спросить умного совета :?

удалить полностью нод32 или каспеского , на ваш вкус ;D. Я бы 6 -стёрку поствил, но это вам решать .иначе мы долго ещё будем искать , пока система не завалиться ;D и сделать новые логи ;)

[QUOTE=lerson]Позже, при просмотре на флешке обнаружились три файлика: autorun.inf smz.exe и библиотечка вроде MSVCR,
[/QUOTE]
вот эти файлы было бы желательно прислать (по правилам форума) на исследование

[QUOTE=lerson]
Начал искать гада, но кроме AVZ ни кто не увидел (респект автору).
[/QUOTE]
что именно он увидел?

для начала можете прислать Teefer.sys.
игру "1000" сами ставили?
а вообще желательно отключить антивирус, фаервол, игры и все прочее, кроме браузера, в этом режиме провести исследование системы программой AVZ и лог прикрепить сюда.

А нод уже удален :)
Я его сгоряча сразу после заражения грохнул и установил каспера. Если вы о NOD32 Kernel Service в сервисах - так это кажись уже не совсем нод. По крайней мере удалить его не получается: родной инсталлятор уже отработал, а руками удалять не получается - после перезагрузки он снова появляется (или я чего пропускаю?).
Кроме текущего каспера 5.0.676 установить возможности в ближайшее время наверно не будет. Но базы - самые свежие.

[QUOTE=lerson]Если вы о NOD32 Kernel Service в сервисах - так это кажись уже не совсем нод. По крайней мере удалить его не получается: родной инсталлятор уже отработал, а руками удалять не получается - после перезагрузки он снова появляется (или я чего пропускаю?).
[/QUOTE]
В AVZ диспетчер служб и драйверов - оттуда удаляйте из памяти, потом стирайте с диска. Этот огрызок может вам всю работу портить.

[quote=MOCT]вот эти файлы было бы желательно прислать (по правилам форума) на исследование[/quote]
я и сам бы хотел на них взгянуть еще разочек :)
флешка не моя была, хозяин ее уже почистил (тем же самым каспером) а на вопрос как хоть назывался говорит эээээ не помню чето там вирус троян какой-то

[quote]что именно он увидел?[/quote]
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
[B]Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77[/B]
[B]Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F[/B]
[B]Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1[/B]
[B]Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3[/B]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 88AFB008 (297)
>>> Внимание, таблица KiST перемещена ! (804E4F40(284)->88AFB008(297))
Функция ZwAllocateVirtualMemory (11) перехвачена (80572068->F76A9B30), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwClose (19) перехвачена (80570D29->B8038870), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateKey (29) перехвачена (80579528->F75BBFE0), перехватчик a347bus.sys
Функция ZwCreatePagingFile (2D) перехвачена (805B8D99->F75AFB00), перехватчик a347bus.sys
Функция ZwCreateProcess (2F) перехвачена (805B4A28->B8038530), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC->B80386D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056EE25->B80389B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80586CE6->B80391F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwEnumerateKey (47) перехвачена (8057A69E->F75B05DC), перехватчик a347bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (80590C93->F75BC120), перехватчик a347bus.sys
Функция ZwMapViewOfSection (6C) перехвачена (80580916->F76A9470), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwOpenFile (74) перехвачена (8057F719->F771823E), перехватчик kl1.sys
Функция ZwOpenKey (77) перехвачена (80573F1D->F75BBFA4), перехватчик a347bus.sys
Функция ZwOpenProcess (7A) перехвачена (80581C68->B8037F90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwProtectVirtualMemory (89) перехвачена (80581F7D->F76A9C50), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwQueryInformationFile (97) перехвачена (80580C35->B8038EB0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryKey (A0) перехвачена (8057A29E->F75B05FC), перехватчик a347bus.sys
Функция ZwQuerySystemInformation (AD) перехвачена (805860EF->B8038FF0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryValueKey (B1) перехвачена (80574361->F75BC076), перехватчик a347bus.sys
Функция ZwResumeThread (CE) перехвачена (8058735D->B80391A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetSystemPowerState (F1) перехвачена (8066F64D->F75BB550), перехватчик a347bus.sys
Функция ZwShutdownSystem (F9) перехвачена (8064E817->F76A9990), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwSuspendThread (FE) перехвачена (8063795B->B8039150), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (8058CE75->B8038D80), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7->F76A9D60), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Проверено функций: 284, перехвачено: 25, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 22
Количество загруженных модулей: 264
Проверка памяти завершена
3. Сканирование дисков
C:\System Volume Information\_restore{8A62A461-F176-4ECC-BBE2-C65C64A0E043}\RP9\A0006727.exe Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 4 TCP портов и 10 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 7119, извлечено из архивов: 482, найдено вредоносных программ 0

вот собственно
в логах avz_sysinfo.htm Модули пространства ядра оно выглядит как " _ " первой строкой вот это бы я вам выслал с удовольствием но не пойму как :)

[quote]для начала можете прислать Teefer.sys.[/quote]
ок
по подписи кажись это от Сигейтовского фаера

[quote]игру "1000" сами ставили?[/quote]
да. ей в обед сто лет, она без инсталла пашет... старый проверенный софт Ж))))
[quote]а вообще желательно отключить антивирус, фаервол, игры и все прочее, кроме браузера, в этом режиме провести исследование системы программой AVZ и лог прикрепить сюда.[/quote]
сделано

[quote=MOCT]В AVZ диспетчер служб и драйверов - оттуда удаляйте из памяти, потом стирайте с диска. Этот огрызок может вам всю работу портить.[/quote]
AVZ ругается:
Служба/драйвер NOD32km опознана как системная. Ее удаление автоматически заблокировано.
Просто остановил в сервисах, вроде больше не грузится. С диска тоже удалил.

[QUOTE=lerson][B]Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77[/B]
вот собственно
[/QUOTE]
такие перехваты могут быть вызваны вполне естественными причинами

[QUOTE=lerson]
в логах avz_sysinfo.htm Модули пространства ядра оно выглядит как " _ " первой строкой вот это бы я вам выслал с удовольствием но не пойму как :)
[/QUOTE]
поищите его в диспетчере драйверов программы AVZ. если найдете - попытайтесь отключить, а уже потом поискать на диске.

[QUOTE=lerson]
по подписи кажись это от Сигейтовского фаера
[/QUOTE]
значит пойдет в базу чистых, чтобы в следующий раз на него не отвлекаться

[QUOTE=lerson]
да. ей в обед сто лет, она без инсталла пашет... старый проверенный софт Ж))))
[/QUOTE]
тогда не нужно запускать его перед тем, как делать исследование системы.

[QUOTE]поищите его в диспетчере драйверов программы AVZ. если найдете - попытайтесь отключить, а уже потом поискать на диске.[/quote]
не вижу (см.аттач)
мож ткнете носом?

[QUOTE=lerson]не вижу (см.аттач)
мож ткнете носом?[/QUOTE]
если нет - значит ложная тревога. симптомы не пропали?

[quote=MOCT]если нет - значит ложная тревога. симптомы не пропали?[/quote]
Просто я в списке его не вижу. Симптомы как были так и остались.

[QUOTE=lerson]Просто я в списке его не вижу. Симптомы как были так и остались.[/QUOTE]
Скачайте GMER - [url]http://www.gmer.net[/url] Зайдите в разде Rootkit, Оставьте галку только напротив системного диска, нажмите Scan потом Copy, и вставьте лог в следующее сообщение.

[quote=RiC]Скачайте GMER - [URL="http://www.gmer.net"]http://www.gmer.net[/URL] Зайдите в разде Rootkit, Оставьте галку только напротив системного диска, нажмите Scan потом Copy, и вставьте лог в следующее сообщение.[/quote]

Сделано.

Вроде чисто все.

[quote=Sanja]Вроде чисто все.[/quote]

хорошо, тогда можете мне объяснить, что это такое? (четвертая строка)

Первые два от алкоголя 120%, третий от каспера, последний вообще непонятно что (русскими буквами назван, что ли ?)

[quote=Alexey P.]Первые два от алкоголя 120%, третий от каспера, последний вообще непонятно что (русскими буквами назван, что ли ?)[/quote]
как его найти / отрубить? Я имею в виду это "непонятно что".

[quote=lerson]как его найти / отрубить? Я имею в виду это "непонятно что".[/quote]
-а во вкладке Modules по адресу F7472000 путь к файлу есть, хоть какой-то или к какому-то?
-кроме того, во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file,
но при этом, имейте ввиду, что этот самый Ваш модуль с именем "________" вполне может оказаться нужным и благонадёжным, а после "Delete file" его вряд ли удастся восстановить... семь раз отмерь, как говорится;)

[quote=Alex Plutoff]-а во вкладке Modules по адресу F7472000 путь к файлу есть, хоть какой-то или к какому-то?
-кроме того, во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file,
но при этом, имейте ввиду, что этот самый Ваш модуль с именем "________" вполне может оказаться нужным и благонадёжным, а после "Delete file" его вряд ли удастся восстановить... семь раз отмерь, как говорится;)[/quote]
Есть. Вот.

ЗЫ Системе осталось жить 8 часов (надоело уже любоваться на это безобразие) после чего снесу все н##.
Поэтому можно предлагать все возможные способы в т.ч. деструктивные :)

[QUOTE]во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file[/QUOTE]
нету такой возможности. контекстное меню неактивное (серое).

[QUOTE=lerson]Есть. Вот.
Поэтому можно предлагать все возможные способы в т.ч. деструктивные[/QUOTE]
Запустите Gmer и перезагрузите комп Reset`ом или Power`ом. - без "нормального" завершения Windows.
Потом повторите лог Gmer и AVZ.

PS: smz.exe не осталось случайно вместе с DLL-кой ?

Ещё интересен лог от beta версии сканера Dr.Web - beta.drweb.com собственно кроме сканера ничего больше не надо, лицензию межете взять там-же, просканируйте на системном диске Windows и "System Volume Information", перед этим обновите антивирус, и в настройках в разделе "Отчет" поставьте - "Проверяемые обьекты".