Как победить rootkit?

Printable View

08.04.2010, 14:17
K1n

Как победить rootkit?

В безопасном режиме система не запускается. Показ скрытых и системных файлов в Проводнике не включается. Как в avz отключить скрытые сервисы, не понял. Запустил gmer, который показал rootkit. Прикладываю лог gmer.log.
08.04.2010, 14:32
DefesT

Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\pwtdqpog.sys','');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\WINDOWS\system32\mukqwutz.dll','');
DeleteFile('C:\WINDOWS\system32\mukqwutz.dll');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\pwtdqpog.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service ezwljazz
gmer.exe -del service ruxqcceas
gmer.exe -del file "C:\WINDOWS\system32\mukqwutz.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ezwljazz"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ruxqcceas"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ezwljazz"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ruxqcceas"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи AVZ и gmer
16.04.2010, 11:10
K1n

Запустил скрипт AVZ. Система зависла. Ресет. Зависание после перезагрузки. В безопасном режиме система запустилась. Запустил скрипт AVZ, перезагрузка, но карантин пустой. Запустил clean.bat. В нормальном режиме система сильно тормозит. Лог AVZ прикладываю. Лог gmer, в котором красноты не было, ошибочно не сохранил.
16.04.2010, 12:12
DefesT

выполните скрипт в AVZ:[CODE]begin
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
end.[/CODE]
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
Сделайте всё-таки лог gmer + hijack, virusinfo_syscure.zip
16.04.2010, 16:32
K1n

AVZ скриптом или через кнопку в Поиск файлов на диске не поместил файл 'C:\WINDOWS\system32\userinit.exe' в карантин. Не пойму, что не так. Через Поиск... отправил файл sysdriv.exe в карантин, который сел на флэшку в каталог Driver. Добавляю все логи снова. Есть файл virusinfo_cure.zip. Попробую отправить по правилам, а то раньше еще не пробовал.
Компьютер оставлял без антивируса на неделю. В нормальном и безопасном режиме работает. Показ скрытых файлов в обоих режимах не устанавливается.
16.04.2010, 16:50
K1n

gmer.log добавляю

потерялся. наверное из-за размера
18.04.2010, 13:46
AndreyKa

Установите надежные пароли на учетные записи пользователей с правами администратора.

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteRepair(8);
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
DeleteFile('C:\WINDOWS\tasks\At*.job');
QuarantineFile('c:\program files\adobe\acrotray .exe','');
QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
QuarantineFile('c:\windows\system32\sounone.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\3628976.exe','');
DeleteFile('C:\WINDOWS\system32\sounone.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quibouw');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\3628976.exe');
DeleteFile('800907.exe');
DeleteFile('C:\program files\internet explorer\wmpscfgs.exe');
DeleteFile('C:\Documents and Settings\user\Application Data\gkewzr.exe');
DeleteFile('c:\program files\adobe\acrotray .exe');
DeleteFile('F:\Driver\sysdriv.exe');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.

Выполните в AVZ скрипт из файла [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [b]log[/b].
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
19.04.2010, 12:32
K1n

Вложений: 1

Пароли создал/изменил.
Скрипт выполнил. Карантин отправил. В карантин не попал acrotray .exe - возможно его удалила установленная Avira. После перезагрузки назначенные задания остались (создались заново) - удалил вручную. Пропал сброс флажка "Показывать скрытые и системные файлы".
Скрипт из файла ScanVuln.txt выполнил. Уязвимости не обнаружены.
Базы AVZ обновил. Скрипт помогите прикладываю.
19.04.2010, 14:33
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
SetServiceStart('maeo9u0z', 4);
QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
QuarantineFile('C:\WINDOWS\system32\hkcmd.exe','');
QuarantineFile('C:\WINDOWS\system32\nocoudewouj.exe','');
SetServiceStart('F-Secure Filter', 4);
SetServiceStart('F-Secure Gatekeeper', 4);
SetServiceStart('F-Secure Recognizer', 4);
SetServiceStart('FSMA', 4);
SetServiceStart('fsbwsys', 4);
SetServiceStart('F-Secure Network Request Broker', 4);
SetServiceStart('F-Secure Gatekeeper Handler Starter', 4);
SetServiceStart('F-Secure BackWeb LAN Access', 4);
DeleteService('maeo9u0z');
SetServiceStart('u1aaoj7y', 4);
QuarantineFile('C:\WINDOWS\system32\leryji.exe','');
DeleteService('u1aaoj7y');
QuarantineFile('c:\windows\system32\massolyc.exe','');
QuarantineFile('c:\windows\system32\hkcmd.exe','');
QuarantineFile('C:\WINDOWS\system32\hkcmd .exe','');
DeleteFile('C:\WINDOWS\system32\hkcmd .exe');
DeleteFile('c:\windows\system32\hkcmd.exe');
DeleteFile('c:\windows\system32\massolyc.exe');
DeleteFile('C:\WINDOWS\system32\app_dll.dll');
DeleteFile('C:\WINDOWS\system32\leryji.exe');
DeleteFile('C:\WINDOWS\system32\massolyc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\fsbwsys','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\BackWeb Plug-in - 7681197','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure BackWeb LAN Access','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure Anti-Virus','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure AVP','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\F-Secure Management Agent','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\nocoudewouj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HotKeysCmds');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','louwumu');
DeleteFile('C:\WINDOWS\system32\hkcmd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
19.04.2010, 17:40
K1n

Вложений: 1

После скрипта комп завис - ресет, в карантине оказались только C:\WINDOWS\system32\leryji.exe и c:\windows\system32\massolyc.exe.
Остальные достал из карантина Авиры. Но файл с пробелом?
QuarantineFile('C:\WINDOWS\system32\hkcmd .exe','');
не удается добавить в карантин avz ни скриптом, ни по списку. А сейчас удалил безвозвратно.
19.04.2010, 17:53
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(False);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
BC_DeleteSvc('ichidksimbf');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\cfvqhpxfbfa.sys','');
BC_DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\cfvqhpxfbfa.sys');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Проблема решена?
21.04.2010, 12:25
K1n

Скрипт запустил. Карантин пуст. До запуска скрипта тоже не обнаружил этот файл 'C:\DOCUME~1\user\LOCALS~1\Temp\cfvqhpxfbfa.sys'. Антивирь F-Secure не удалялся через установку и удаление программ. Использовал деинсталятор с сайта разработчика. Но в логе AVZ осталась служба C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE. Подскажите, как правильно удалить эту запись и где почитать про применение AVZ.

Спасибо, проблемы с руткитом и блокировкой показа скрытых файлов решены.
21.04.2010, 12:55
DefesT

Вот этот [URL="http://support.kaspersky.ru/kis2010/error?qid=208636501"]uninstall[/URL] использовали?
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SetAVZGuardStatus(True);
DeleteService('BackWeb Plug-in - 7681197');
DeleteFile('C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
ПК перезагрузится.
Почитать про AVZ можно в справке самой утилиты или [URL="http://www.z-oleg.com/secur/avz_doc/"]тут[/URL]
21.04.2010, 13:20
K1n

Uninstallation Tool 3.0 build 630 скачал с [url]ftp://ftp.f-secure.com/support/tools/uitool[/url]. У файлов более свежая дата чем UITool3-420.zip на указанной вами странице.
Почему-то сервис в логе AVZ остался после скрипта DeleteService('BackWeb Plug-in - 7681197'); Удалил через диспетчер служб и драйверов AVZ на вкладке "Сервисы (по анализу реестра)".
Еще раз большое спасибо. С этим компьютером все замечательно.
22.04.2010, 13:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\application data\gkewzr.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[*] c:\docume~1\user\locals~1\temp\3628976.exe - [B]Trojan-Downloader.Win32.Small.aqsw[/B] ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Agent.APHT, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\program files\internet explorer\wmpscfgs.exe - [B]Trojan-Clicker.Win32.Cycler.ozg[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\app_dll.dll - [B]Trojan.Win32.FraudPack.apul[/B] ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602389, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\windows\system32\hkcmd.exe - [B]Trojan-Clicker.Win32.Cycler.ozg[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\leryji.exe - [B]Trojan-Dropper.Win32.Vidro.me[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\windows\system32\massolyc.exe - [B]Trojan-Dropper.Win32.Vidro.me[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\windows\system32\nocoudewouj.exe - [B]Trojan-Dropper.Win32.Vidro.me[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\windows\system32\sounone.exe - [B]Trojan-Dropper.Win32.Vidro.me[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] f:\driver\sysdriv.exe - [B]Trojan.Win32.VB.adwx[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: IRC-Worm.Generic.10514, AVAST4: Win32:Malware-gen )[/LIST][/LIST]