Backdoor.Bulknet и Trojan.NtRootKit.248

**Bratez** · 02.06.2007, 17:50

Выполните такой скрипт:

Код:

begin
BC_DeleteSvc('ksys');
BC_DeleteFile('C:\WINDOWS\System32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\system32\svchоst.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
После этого попытайтесь сделать логи по правилам в обычном режиме.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 02.06.2007, 17:51

У DRWeb - CureIT еще были претензии к C:\WINDOWS\System32\Drivers\ip6fw.sys

Похоже на ложное срабатывание. Это не первый случай. Вот описание драйвера http://www.file.net/process/ip6fw.sys.html

**Gray** · 02.06.2007, 18:25

2 Bratez
Скрипт выполнил как в обычном, так и в безопасном режиме.
Но AVZ все равно отказывается делать логи в обычном режиме, согласно "правилам". Как только дело доходит до проверки kernel mode, развивается системная ошибка
только что проверил ksys.sys и svchost.exe сидят все там же, где и раньше

**Bratez** · 02.06.2007, 18:44

Изменил скрипт, пробуйте по новой:

Код:

begin
BC_DeleteSvc('NDnet1');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\system32\svchоst.exe');
BC_Activate;
RebootWindows(true);
end.

**Макcим** · 02.06.2007, 18:46

Подождем Олега Зайцева. Я попросил его посмотреть дампы. Или AVZ не ладит с какими-то драйвера легитимных программ или это AVZ вырубается зловредом... Больше похоже на первое.

**Gray** · 02.06.2007, 19:12

2 Bratez
"Герои" все те же и на своих местах.
При новой попытке добавить в карантин "по списку":
Ошибка карантина файла "C:\WINDOWS\system32\svchоst.exe", попытка прямого чтения. Карантин с использованием прямого чтения - ошибка.
При запуске AVZ в нормальном режиме все та же системная ошибка при анализе kernel mode

2 MaXim
Подождем

При "вылете" из программы на синем экране появляются жалобы на fastfat.sys
Посмотрел что это за файл. Вот описание :
Problems With FASTFAT? Could be memory

05.21.2003

FASTFAT is a kernel-level driver that provides support for FAT16 volumes in Windows 2000, including features like delayed writes that are normally only supported for NTFS.

Sometimes a Windows 2000 system will crash or refuse to start, citing an error in the file FASTFAT.SYS. This may lead an administrator to believe that FASTFAT.SYS is corrupt, which can happen even if there are no FAT16 volumes mounted. (FASTFAT is also for reading and writing floppies, which is part of why it loads by default.)

However, the first and more likely culprit, interestingly enough, is not the driver itself but a faulty SIMM or DIMM in the computer. If a FASTFAT error turns up in a system that has not had a problem before, the memory may be the first culprit, and you should swap it out to check. Some flavors of memory, from specific manufacturers, do not work well in certain brands of motherboard. With DIMMs, one easy way to determine this is by running the machine first with a single DIMM and then with a pair (or more). If the machine runs well on one DIMM but badly with two or more, then that manufacturer's RAM is not working with this particular machine and should be changed out for another variety. (In the event that a machine refused to boot before now boots properly with a change in memory, the memory is the number one culprit.)

Barring faulty RAM, the driver itself is probably corrupt, and will need to be replaced either through a parallel install of Windows 2000 or via the Recovery Console. FASTFAT.SYS exists in the %SystemRoom%System32Drivers folder of the operating system, and is stored as FASTFAT.SY_ on the Windows 2000 CD-ROM. Running a repair operation from the CD may not work; the file should be replaced by hand.

Еще кое что о fastfat.sys есть на сайте Microsoft здесь и здесь - очень похоже на то, что пишет мой комп при "выбросе" из системы.

Странно, раньше таких конфликтов с AVZ у меня не возникало (по крайней мере до установки SP2). Да и операционная система у меня не Win2000, а WinXP SP2

Трафик в_сеть/из_сети немного уменьшился, но все равно не идеален. Например, только при загрузке данной страницы отправлено 323 601 байт, получено 1 019 177 байт

**Bratez** · 02.06.2007, 19:20

Нда, тяжелый случай...
Ладно, подождем. Надеюсь, Олегу удастся докопаться до истины.

**Макcим** · 02.06.2007, 19:45

Какая у Вас Windows?

**Gray** · 02.06.2007, 19:48

2 MaXim
XP SP2 Home

**Muffler** · 02.06.2007, 21:33

1. Cкачайте The Avenger
2. Распакуйте программу к примеру в каталог C:\Avn
3. Запустите Avenger.exe и выберите "Input script manually"
4. Нажмите на иконку с увеличительным стеклом.
5. Введите в открывшееся окно текст из рамки ниже, (для этого пометьте текст в рамке выберите "копировать" и "вставить" его в окно программы) -

Код:

FILES TO MOVE:
C:\WINDOWS\system32\ksys.sys | C:\VirusInfo\ksys.dat
C:\WINDOWS\system32\svchоst.exe | C:\VirusInfo\svchost.dat
Files to delete:
C:\WINDOWS\system32\ksys.sys
C:\WINDOWS\system32\svchоst.exe

6. Нажмите на иконку со светофором.
7. Перезагрузитесь.
8. После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
9. Добавьте сохраненный файл в следующее сообщение. Плюс найдите папку C:\VirusInfo\ пришлите нам её по правилам.

**RiC** · 02.06.2007, 21:38

Скачайте Rootkit Unhooker http://virusinfo.info/showthread.php?t=6287 и сделайте лог.

**Gray** · 02.06.2007, 22:19

2 Muffler
Файл с протоколом под скрепкой. Папки Virusinfo не создалось (видимо из-за проблем, описанных в протоколе). Выполнял процедуру в нормальном режиме. Может быть надо было в Safe mode?

**Rene-gad** · 02.06.2007, 22:22

Сообщение от Gray

Файл с протоколом под скрепкой.

нееее, под скрепкой файл avenger.exe, который Вы скачали по ссылке Mufflera.

**Muffler** · 02.06.2007, 22:24

Нужен протокол...

**Gray** · 02.06.2007, 22:27

Мистика!

Прикреплял именно протокол. Попробую еще раз.

**Rene-gad** · 02.06.2007, 22:30

Сообщение от Gray

Мистика!

надо было не архивировать лог, а прикрепить его , как есть. К сожалению удаление файлов и в этом случае не состоялось.

**Muffler** · 02.06.2007, 22:30

Всё так как и должно было быть.

Зделайте все три лога из правил.

**Gray** · 02.06.2007, 22:31

2 RiC
Прогу скачал. Как сделать лог? Save info from currrent page? Если да, то с какой страницы? Сохранять ли при запуске программы подключение к И-нету? Или какое-то специальное меню?
Спасибо заранее.

**Gray** · 02.06.2007, 22:34

2 Muffler
Рад бы, да не могу: AVZ "вылетает" при запуске на выполнение требуемых скриптов (плз, см. выше). Или Вам думается, что теперь не будет вылетать? Могу попробовать, конечно. За вчера-сегодня перезагружал машину уже раз сто