Подозрение на руткит

Здравствуйте! Прошу помощи по обнаружению и ликвидации вредоносной программы.

После инфицирования был отформатирован системный диск, переустановлена ОС и осуществлена полная проверка системы антивирусными утилитами NOD32, Dr.Web, AVPTool и AVZ. Антивирусы угроз не видят, лишь AVZ в режиме Anti-RootKit (Kernel-Mode) пишет красным цветом две строчки: "CmpCallCallBacks = 00145A9F" и "Disable callback OK", но угроз не находит.

Однако, после установки драйверов и прочего ПО появляется масса разнообразных симптомов: исчезает подключение к сети, программы не запускаются ("нет прав доступа"), иконки меняют местоположение, в адресной строке браузера и в открытом текстовом редакторе появляются длинные строки "test" и "еуые", исчезает панель задач и прочее. После этого AVZ перечисляет много подозрительных файлов и процессов, но в конце пишет, что подозрений - 0, вредоносных программ - 0. Через некоторое время появляются сообщения об отсутствии системных файлов, а после этого - "синий экран смерти". Ситуация повторяется после каждой переустановки ОС.

Очень надеюсь на вашу помощь и заранее благодарю за внимание.

Уважаемый(ая) [B]Disponsator[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[quote="Disponsator;835508"]в открытом текстовом редакторе появляются длинные строки "test" и "еуые"[/quote]
Это AVZ ловит кейлоггеры на живца.

Ничего подозрительного в логах не вижу.

Странно. За полчаса до отправки сообщения я делал полную проверку с помощью AVZ (со вчерашними базами), и треть лога пестрела красным. Вот, например, характеристика, которую AVZ выдал файлу видеодрайвера "ati2evxx.exe":
[CODE][ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:С высокой степенью вероятности может бороться с антивирусами
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?[/CODE]
Таких файлов и процессов он обнаружил с полтора десятка. Сейчас, после обновления, ничего не видит.
Подскажите, пожалуйста, можно ли как-то удостовериться, что AVZ не обманут зловредом? Фраза "может бороться с антивирусами" настораживает.
И что на счет этих двух строк: "CmpCallCallBacks = 00145A9F" и "Disable callback OK". Их до инфицирования не было (я делаю регулярную проверку).

Вам ответили, что ничего плохого в логах нет. Не нужно быть таким подозрительным

[QUOTE=thyrex;835544]Вам ответили, что ничего плохого в логах нет. Не нужно быть таким подозрительным[/QUOTE]
Вы меня не поняли. Зараженные файлы никуда не делись: ни AVZ, ни я сам никаких действий к ним не применяли. Просто утилита их видит не всегда и не все.

Извините, если я вас оскорбил своей подозрительностью. Тяжело быть неподозрительным после трех дней борьбы с вирусом, который доводит систему до синего экрана за 40 минут с момента установки, при этом оставаясь незамеченным ведущими антивирусными утилитами. Я могу отправить вам в архиве те исполняемые файлы, которые появляются на диске С у меня на глазах, но остаются незамеченными всеми вышеперечисленными антивирусами.

Прямо сейчас у меня вылетел с ошибкой Explorer, и самозакрылся AVZ. Думается, что фраза "С высокой степенью вероятности может бороться с антивирусами" была написана программой не просто так.

Только что в безопасном режиме AVZ писал: "Опасно! Обнаружена маскировка процессов", и выдал два десятка строчек о нейтрализации кода руткита. Также нашел пару exe-файлов из тех, что возникли в папке Windows (их там больше, но он не видит). Прикрепляю новые логи.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Какая хорошая вещь! Радостно наконец лицезреть своих обидчиков. Хотя немного грешит на генераторы ключей.

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tnaww (Backdoor.Bot) -> Value: Tnaww -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent.MSGen) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Value: Microsoft Driver Setup -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Backdoor.Bot) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.

Зараженные папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Зараженные файлы:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\syitm.exe (Backdoor.Bot) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.[/code]

[size="1"][color="#666686"][B][I]Добавлено через 53 секунды[/I][/B][/color][/size]

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Установка IE8 была ошибочным ходом. Запустить его толком не удалось (вирус быстро блокирует его работу), а времени на попытку обновить компоненты Windows было потрачено много (опять-таки вирус повинен в замедлении скорости). За это время на системный диск установилось еще много вредоносного, после чего аккуратно закрылись все активные приложения, исчез рабочий стол и панель задач. Я перезагрузил систему в безопасном режиме, сделал полную проверку с помощью MBAM, внимательно изучил, а потом удалил те объекты, которые он счел инфицированными. Оставил как есть генераторы ключей (давно лежат, угрозы не представляют) и файлы реестра с маркировкой PUM. В последнем не уверен. Что такое PUM? Нежелательные модификации системы?

В остальном, все выглядит спокойно.

PUM - потенциально нежелательные модификации системы

Все Ваши проблемы были из-за дыр в системе по причине отсутствия обновлений. Потому, пока Вы их скачивали, к Вам успело налезть новой заразы

Я думаю, что обновления не имеют значения конкретно в этом случае. Сегодня утром вся описанная выше ситуация повторилась. Пришлось повторить процесс проверки и удаления в MBAM, но, поскольку уже очевидно, что это не панацея, то я сам проверил поочередно все подпапки "Documents and Settings". Нашел то, что не заметил MBAM и все вышеперечисленные. По папкам были разбросаны номерные exe-файлы такого же вида, что и удаленные вчера с помощью AVZ, но с дополнительной цифрой в скобках: 50[1].exe, 51[1].exe, 52[1].exe и подобные.
Похоже на копии. Располагались тут:
[CODE]C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\LocalService[/CODE]
Не понимаю одного: диск C был отформатирован, а D - чист; другие носители я временно не использовал; так откуда же эта зараз берется? Или я цепляю ее при посещении какого-то ресурса... Но за последние дни я меньше времени провел в интернете, чем за переустановкой системы, да и посещаемые сайты проверены временем. Тупик какой-то...

Думаю, в пределах дня будет ясно, помогло ли ручное удаление "хвостов".

Значит не все обновления установлены

Понимаете, мне важно удалить загрузчик, а не просто блокировать его деятельность. Поэтому обновления ОС меня не очень интересуют (ради формальности я установил все три пакета, которые мне предложил оф.сайт, но это ни на что не повлияло).
В соседней теме увидел похожую проблему, и там же - рекомендацию использовать GMER. Сейчас проверяю.

Вот он!
[CODE]Malicious Win32:MBRoot code @ sector 61[/CODE]
Подскажите, пожалуйста, как удалить?

Попробуйте [URL="http://support.kaspersky.ru/viruses/solutions?qid=208636990"]TDSSKiller[/URL].

TDSSKiller не видит его.

Лог TDSSKiller приложите.

Прилагаю лог TDSSKiller.
И еще лог MBR Check.
Еще проверял с помощью Trend Micro Rootkit Buster, там лог вообще простой: "No hidden files/registry/processes/drivers found."

TDSSKiller, запущенный с ключем –l, почему-то дал сокращенный лог. Если необходимо, я приложу полный (оказалось, что сокращенный сохраняется в папке утилиты, а полный - в корне диска C). Но там все "OK", как он считает.

Запустите TDSSkiller с ключом [B]-qmbr[/B]
Найдите на диске С папку с карантином утилиты, запакуйте и прикрепите к сообщению

Чуть ранее еще сказали проверить с помощью Dr.Web LiveCD (сейчас не вижу этого сообщения) - он ничего не нашел.
Карантин TDSSKiller прилагаю.

gmer детектит остатки от буткита Sinowal
Сам MBR в порядке

К сожалению, это не так. Без подключения к интернету чищеная система еще кое-как работает (возникают некоторые ошибки, но это терпимо). При подключении же к сети моментально начинается загрузка вредоносного ПО (три разных набора, насколько я могу определить визуально). С момента подключения до момента полной блокировки доступа к сети проходит 5-7 минут; до момента первых сбоев в работе браузера, проводника, запущенных приложений - еще 10-15 минут; дальнейшее развитие - в зависимости от загруженного набора вредоносных программ. Минимальное время до перезагрузки с синим экраном - чуть менее часа.

В общем, это не остатки кода, это полноценный буткит.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Готово.

Что с проблемой?

Без позитивных изменений. Изменился только загружаемый контент: раньше были номерные exe-файлы, а теперь в разных папках складируются еще и файлы с расширением tmp. И подмена рабочего стола тоже изменилась: теперь AVZ детектирует сразу два файла, которые выполняют эту функцию.

Да, еще в корне диска C иногда создается папка с дружелюбным названием "Avenger". Обычно она пустует или содержит пустые подпапки.

Из плюсов: похоже, что многочисленные проверки указанными выше утилитами убили вирус, который заражал файлы видеодрайвера. Но это не факт.

Восстанавливал MBR с помощью программы Esage Lab Bootkit Remover, и с помощью консоли восстановления тоже. Не помогает. После восстановления загрузочной записи (которую большинство утилит и так считает подлинной) начинается тот же процесс, что уже неоднократно описан выше.

Что же это, руткит уровня BIOS?