Добрый день,
В один из регулярных профилактических запусков AVZ обнаружил большое количество маскировок процессов и перехватчиков.
Посмотрите пожалуйста логи. Заранее спасибо!
З.Ы. Восстановление системы отключено, при этом в логах AVZ пишет что оно включено. Не смог это побороть.
[QUOTE='MOXHATOE;514591']Восстановление системы отключено, при этом в логах AVZ пишет что оно включено. Не смог это побороть. [/QUOTE]На Vista так и должно быть.
В логах нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
[QUOTE=AndreyKa;514604]На Vista так и должно быть.
В логах нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url][/QUOTE]
А с чем связано такое количество маскировок?
Еще пару недель назад ничего этого не было.
Указанную вами процедуру выполнил, файл загрузил:
[QUOTE]
Файл сохранён как 091123_131149_virusinfo_files_T-1000_4b0a5fe508e4b.zip
Размер файла 51313771
MD5 ef80055f3edfc0d17042e954ecf952db
[/QUOTE]
До кучи, еще проверил руткит анхуком. Вот что он выдал:
[QUOTE]
>SSDT State
>Shadow
>Processes
>Drivers
>Stealth
>Hooks
ntkrnlpa.exe+0x000A878A, Type: Inline - RelativeJump 0x81EDD78A [ntkrnlpa.exe]
[1240]rundll32.exe-->advapi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77C814BC [shimeng.dll]
[1240]rundll32.exe-->gdi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77B61170 [shimeng.dll]
[1240]rundll32.exe-->shell32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x768E1414 [shimeng.dll]
[1240]rundll32.exe-->user32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77D51300 [shimeng.dll]
[1840]chrome.exe-->ntdll.dll-->NtOpenProcessToken, Type: Inline - RelativeCall 0x77AE4C4A [unknown_code_page]
[1840]chrome.exe-->ntdll.dll-->NtOpenThreadTokenEx, Type: Inline - RelativeCall 0x77AE4CCA [unknown_code_page]
[1840]chrome.exe-->ntdll.dll-->NtQueryFullAttributesFile, Type: Inline - RelativeCall 0x77AE4E0A [unknown_code_page]
[3800]psqltray.exe-->advapi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77C814BC [shimeng.dll]
[3800]psqltray.exe-->gdi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77B61170 [shimeng.dll]
[3800]psqltray.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x00406090 [shimeng.dll]
[3800]psqltray.exe-->shell32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x768E1414 [shimeng.dll]
[3800]psqltray.exe-->user32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77D51300 [shimeng.dll]
[3800]psqltray.exe-->ws2_32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x4B0D11E8 [shimeng.dll]
[608]chrome.exe-->ntdll.dll-->NtOpenProcessToken, Type: Inline - RelativeCall 0x77AE4C4A [unknown_code_page]
[608]chrome.exe-->ntdll.dll-->NtOpenThreadTokenEx, Type: Inline - RelativeCall 0x77AE4CCA [unknown_code_page]
[608]chrome.exe-->ntdll.dll-->NtQueryFullAttributesFile, Type: Inline - RelativeCall 0x77AE4E0A [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
[/QUOTE]
Результат:[QUOTE='CyberHelper;514672']Архив 091123_131149_virusinfo_files_T-1000_4b0a5fe508e4b.zip, загружен 23.11.2009 13:40:19, размер 51313771 байт
Всего файлов: 83 (исполняемых 82), из них:
зловреды или опасные объекты: 0
подозрительные: 0[/QUOTE]
[QUOTE=AndreyKa;514783]Результат:[/QUOTE]
Андрей, спасибо за проверку.
Не могли бы вы все же пояснить, откуда в памяти взялось такое количество маскированных процессов?
Вы AVZ запускали через правую кнопку мыши от имени Администратора или как?
В логе AVZ нормально видны только пользовательские программы а системные распознаются как маскированные.
[QUOTE=AndreyKa;514811]Вы AVZ запускали через правую кнопку мыши от имени Администратора или как?
[/QUOTE]
Да, от имени администратора.
[QUOTE=AndreyKa;514811]Вы AVZ запускали через правую кнопку мыши от имени Администратора или как?
В логе AVZ нормально видны только пользовательские программы а системные распознаются как маскированные.[/QUOTE]
Проверил это на аналогичной системе с аналогичным набором ПО (использую два идентичных ноутбука для работы). AVZ не показывает маскированных процессов на втором ноутбуке!
Андрей, к сожалению проблема все же есть. Периодически (несколько раз в час) отваливается WiFi, ноутбук ощутимо подтормаживает если его не перегружать пару дней.
Сейчас полез смотреть журнал событий, обнаружил там вот такую запись:
[QUOTE]
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume1\Windows\System32\drivers\utqymjgx.sys
[/QUOTE]Весь журнал безопасности забит событиями:
[QUOTE]
Брандмауэру Windows не удалось уведомить пользователя о том, что прием входящих сетевых подключений для приложения заблокирован.
Код ошибки: 2
[/QUOTE]
Естественно, тут же полез в указанный каталог, но ничего похожего на указанный файл там не нашел. Очевидно, что это какой-то зверь, по видимому, полиморф и руткит...
В AVZ меню ФАйл-Стандартные скрипты. В строчке
6. Удаление всех драйверов и ключей реестра AVZ
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip), запустив AVZ от имени Администратора и приложите к этой теме.
[QUOTE=AndreyKa;532697]В AVZ меню ФАйл-Стандартные скрипты. В строчке
6. Удаление всех драйверов и ключей реестра AVZ
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip), запустив AVZ от имени Администратора и приложите к этой теме.[/QUOTE]
Все сделал, прилагаю лог.
Маскированных процессов больше нет, перехватчики остались.
Не видно ничего подозрительного.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
А что с перехватчиками?
Сделал поиск, похоже на то, как если бы в системе был установлен Daemon Tools. Но он не установлен!
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
BC_DeleteFile('C:\Windows\System32\Drivers\sptd.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(True);
end.
[/code]
Компьютер перезагрузится.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
[QUOTE=AndreyKa;533245]Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
BC_DeleteFile('C:\Windows\System32\Drivers\sptd.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(True);
end.
[/code]Компьютер перезагрузится.
[B]Обновите базы AVZ[/B].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.[/QUOTE]
Выполнил. Обновил. Прилагаю новый лог.
Все на месте :(
[QUOTE='MOXHATOE;533350']Все на месте [/QUOTE]
Что именно на месте?
В логе чисто.
На месте драйвер Daemon Tools.
[B]MOXHATOE[/B], вы восстановление системы для диска С отключили?
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
BC_QrFile('C:\Windows\System32\Drivers\sptd.sys');
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
[QUOTE=миднайт;533402]Что именно на месте?
В логе чисто.[[FONT=Verdana]/QUOTE]
[/FONT][FONT=Verdana][COLOR=#000000]Вот это:
[QUOTE]
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 84C211F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 84C211F8 -> перехватчик не определен[/QUOTE][/COLOR][/FONT]
[QUOTE=AndreyKa;533450]На месте драйвер Daemon Tools.
[B]MOXHATOE[/B], вы восстановление системы для диска С отключили?
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
BC_QrFile('C:\Windows\System32\Drivers\sptd.sys');
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.
[/code]Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [COLOR=red][B][U]Прислать запрошенный карантин[/U][/B][/COLOR], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.[/QUOTE]
В прошлый раз забыл восстановление отключить :(
Карантин выслал, лог прилагаю.
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]