Trojan.NtRootKit.248 в файле ksys.sys

**RomulN** · 29.07.2007, 21:30

Добрый день!
Мне позвонил провайдер и сказал, что с моего IP-адреса идет рассылка спама. Проверил свой комп Касперским и DrWeb - CureIT, оба обнаружили Trojan.NtRootKit.248 в файле ksys.sys, затем занялся поиском в интернете и вышел на Ваш сайт.
Проблемы те же, что и описанные здесь: http://virusinfo.info/showthread.php?t=10124.
Все тоже самое, DrWeb - CureIT обнаружила Trojan.NtRootKit.248 в файле ksys.sys, которые всякий раз детектируются после перезагрузки системы (при отключенном восстановлении системы). При запуске AVZ комп выдает системную ошибку и перегружается (при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys или похожее - очень быстро не успеаю заметить точно).
В безопасном режиме AVZ запускается, но логи не создает.
В связи с тем, что я всего лишь пользователь, самостоятельно разобраться с тем, что описывалось в указанной выше теме на трех страниах, увы не смог.
HiJackThis.log прилагаю
Очень верю в Вашу помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**RiC** · 29.07.2007, 21:45

Скачайте Cureit beta - ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe проверьте им диск с: и попробуйте после этого сделать логи AVZ.

В Safe mode удалите файл -
C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe
и пофиксите в Hijack строки -

Код:

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe
O4 - HKCU\..\Run: [XP restart system] h

Если не получится сделать лог AVZ скачайте Gmer и сделайте лог Gmer.

**RomulN** · 30.07.2007, 21:18

cureit-beta нашел еще Trojan.NtRootKit.341 в файле C:/system32/drivers/runtime2.sy_ и удалил его.
AVZ выдает тоже самое и вырубает систему.
Gmer - абсолютно аналогично: выдает системную ошибку и перегружается (при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys или похожее - очень быстро не успеваю заметить точно). Вроде как в начале красным шрифтом написал что-то как раз про C:/system32/drivers/runtime2.sys и вырубился.

В Safe mode файл C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe не нашел, в обычном режиме тоже.
В Safe mode пофиксил только:
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)

этих строк:
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe
O4 - HKCU\..\Run: [XP restart system] h
В Safe mode не видно.
В обычном режиме они есть, но фиксить не стал, так как если правильно понял, то нужно фиксить именно в Safe mode, если это не так, поправьте.
За не имением ничего больше, еще раз прилагаю HiJackThis.log, после того что удалось сделать.

**RiC** · 30.07.2007, 21:35

Чемто мне сие не нравится

AVZ Файл=>Выполнить скрипт

Код:

begin
 QuarantineFile('%WinDir%\Temp\startdrv.exe','');
 QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
 QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
 QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
 DeleteFile('%Windir%\Temp\startdrv.exe');
 DeleteFile('%Windir%\system32\drivers\runtime2.sys');
 DeleteFile('%Windir%\system32\drivers\runtime.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки пофиксите то, что я указал в 1-м сообщении в любом режиме перезагрузитесь ещё раз и попытайтесь сделать логи из правил.

**RomulN** · 30.07.2007, 22:03

При попытке выполнить скрипт та же ошибка ( выдает системную ошибку и перегружается
, при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys)
Строки:
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe
O4 - HKCU\..\Run: [XP restart system] h
пофиксил, перезагрузился.

Попытался снова сделать AVZ логи - то же самое, выдает системную ошибку и перегружается

**Макcим** · 30.07.2007, 22:13

1. Переименуйте папку с AVZ в 1, а файл avz.exe в 1.exe.
2. Сделайте дополнительный лог как написано здесь.
3. После переименования попробуйте сделать ещё раз логи как обычно.

**RiC** · 30.07.2007, 22:14

Ладно, а вот так -

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_Activate;
 RebootWindows(true);
end.

**RomulN** · 30.07.2007, 23:19

Ура! Вроде получилось. Только почему то не смог скачать обновление баз AVZ.
Полученные логи прилагаю

**V_Bond** · 31.07.2007, 01:23

профиксите

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\ksys.sys','')
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\ksys.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи

**RomulN** · 31.07.2007, 05:20

Привыполнении скрипта выдает ошибку:

Ошибка: ';' expected в позиции 7:2

Добавлено через 15 минут
И сразу вопрос вдогонку: в карантине 3 папки, за 290707, 300707 и 310707, после выполнения появится еще и четвертая, если я правильно понимаю. Какой карантин присылать последний или все?

**Muzzle** · 31.07.2007, 05:42

Вот исправленный скрипт,выполняйте

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\ksys.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Вы не разу так и не прислали карантин,поэтому отправьте его по очереди согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11425

**RomulN** · 31.07.2007, 10:59

Скрипт выполнил. Файлы карантина закачал по порядку (в обратном хронологическом)

**RomulN** · 31.07.2007, 11:22

После выполнения скрипта сделал новые логи (прилагаю), и выслал самый последний (четвертый) файл карантина:

Файл сохранён как 070731_111848_virus_46aee2586b33b.zip
Размер файла 643472
MD5 5c4aa4fa823ee5d6be42f61ba1bef826

Жду дальнейших указаний

**Muzzle** · 31.07.2007, 11:49

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\oDxLEIyL.exe','');
 QuarantineFile('C:\Windows\System32\Check.exe','');
 DeleteFile('C:\WINDOWS\system32\oDxLEIyL.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11425
Добавьте в карантин ещё и этот файл - C:\Documents and Settings\user\Рабочий стол\ФЛЕШКА ДЕКАБРЬ 05\ФЛЕШКА ДЕКАБРЬ 05\Флешка\Томск\ПРИКАЗЫ\Приказы долгосрочные\Склад\Проверка ББ на качество продукции.doc

2.Удалите все задание их планировщика задач

3.Ваш компьютер находиться в домене?

4.давайте ещё и вот этот файлик в карантин

Код:

begin
QuarantineFile('C:\WINDOWS\Installer\{99ADC6C1-45D9-4D5C-B1CD-EB0F15FB529B}\IMAGEFOX_STRTUP_SHRTCUT.exe','');
end.

**RomulN** · 01.08.2007, 05:59

Все сделал по списку.
По поводу домена- раньше был, теперь нет, настройки еще остались.
Карантин последний:
Файл сохранён как 070801_055743_virus_46afe897d29b2.zip

**Muzzle** · 01.08.2007, 07:49

C:\Windows\System32\Check.exe - Trojan-PSW.Win32.WOW.lq (новенький

)
остальные чистые

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  DeleteFile('C:\Windows\System32\Check.exe');
  BC_DeleteFile('C:\Windows\System32\Check.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

**RomulN** · 01.08.2007, 18:09

Скрипт выполнен. Логи прилагаются.

Новый файл карантина:
Файл сохранён как 070801_181102_virus_46b09476daa78.zip
Размер файла 1064122
MD5 1a5e1179a5581bd5287af7f92cf131a6

**V_Bond** · 01.08.2007, 20:29

логи чисты ... если проблем нет то лечение можно считать законченым...

**Muzzle** · 02.08.2007, 02:51

Советую работать за компьютером под пользователем с ограничеными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

**RomulN** · 02.08.2007, 05:25

Всем откликнувшимся ОГРОМНОЕ СПАСИБО!!!

Trojan.NtRootKit.248 в файле ksys.sys (заявка № 11425)

Опции темы

Trojan.NtRootKit.248 в файле ksys.sys

Похожие темы

Trojan.NtRootKit.1653 в файле synsenddrv.sys

Trojan.NtRootKit.1653 в файле synsenddrv.sys

Trojan.NtRootKit.312 в файле deflib.sys

Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478

Trojan.NtRootKit.319 в файле c:\windows\system32\drivers\secdrv.sys

Ваши права в разделе