Возрождающиеся руткиты.

**Acer** · 05.09.2007, 16:06

Ноутбук Ровер. CureIt обнаружил маленький "зверинец":
Trojan.NtRootKit.319
Trojan.NtRootKit.360
Trojan.Proxy.2071
Trojan.MailSpectre
BackDoor.Bulknet.59

После сканирования CureIt сеть не работала. Помогло только netsh winsock reset. Но спустя какое-то время и пары перезагрузок сеть опять перестаёт работать и CureIt опять при экспресс-проверке находит два вышеуказанных руткита.

На этом же ноутбуке наблюдался интресный эффект: в некоторых окнах (не во всех) мышинный курсор отскакивал от кнопок. Например такое наблюдалось в Диспетчере задач и при остановке USB-устройств. С клавиатуры при этом всё управлялось нормально.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 05.09.2007, 16:20

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
 QuarantineFile('C:\DRIVERS\AUTOMAIL\FNGMHLIB.DLL','');
 QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll'); 
 BC_ImportALL;
 BC_QrSvc('Ip6Fw');
 BC_QrSvc('runtime');
 BC_QrSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O1 - Hosts: 127.0.0.2 updates.drweb.com
O1 - Hosts: 127.0.0.2 kaspersky.ru

Сделайте новые логи.

**drongo** · 05.09.2007, 16:26

панда как всегда в спячке

О, опередили

Я добавил парочку.

**Acer** · 05.09.2007, 16:43

Результат загрузки
Файл сохранён как 070905_073940_virus_46dea38cec2f3.zip
Размер файла 514257
MD5 30334166391ffa2223dc8ddb5659e763

Файл закачан, спасибо!

Хочу добавить, что при старте системы выскакивает сообщение от системы:
"Could not load DLL: FNGMHLIB"
Что за библиотека такая? Вражеская или нет?

**drongo** · 05.09.2007, 16:52

FNGMHLIB"=Вражеская

ждём новых логов и отключите наконец панду перед исполнением логов.

**Acer** · 05.09.2007, 17:12

Анализы, док.

**Bratez** · 05.09.2007, 17:24

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\FNGKHLIB.dll','');
 DeleteFile('C:\WINDOWS\system32\FNGKHLIB.dll');
 BC_QrSvc('smtpdrv');
 BC_DeleteSvc('smtpdrv');
 BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('C:\WINDOWS\system32\FNGKHLIB.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин по правилам
и сделайте логи еще раз.

**Acer** · 05.09.2007, 17:27

Сообщение от PavelA

Профиксить:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

Выполнить скрипт:

Код:

begin
 SysCleanAddfile('C:\WINDOWS\system32\FNGKHLIB.dll');
 ExecuteSysClean;
end.

Done

**PavelA** · 05.09.2007, 17:32

Быстры Вы батенька. Выполните указание Bratez, PLS.

**Acer** · 05.09.2007, 17:36

Выполнил большой скрипт из последнего поста Bratez. Пофиксил строчку в HJT. Последние логи выслал.

Результат загрузки

Файл сохранён как070905_083440_virus1_46deb070b844c.zipРазмер файла10598MD5391603ac7ded4f3707d64991e8cc1abaФайл закачан, спасибо!

**Bratez** · 05.09.2007, 17:44

Последние логи выслал.

А нету

Логи прикрепите к сообщению. Если вдруг не хватает места, удалите самые старые.

**Acer** · 05.09.2007, 17:51

Ёщё последние логи:

**Bratez** · 05.09.2007, 17:59

Теперь логи чистые. Осталось разобраться с этим:

Код:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Что из этого нужно - скажите, остальное исправим.

А во-вторых, есть мнение, что Панда мышей не ловит

Я думаю, что антивирус стоит сменить.

**Acer** · 05.09.2007, 18:37

Службы остановил и поставил тип запуска в положении "Отключено".
Автозапуск на CD решили пока оставить.
С останыльным не знаю, что делать.
Комп домашний. Используется изредко для веб-сёрфинга и для печати текстов и фото.

Добавлено через 14 минут

Насчёт Панды всё понятно -- будем менять.
Вот разобраться бы ёщё с "Could not load DLL: FNGMHLIB". Всё равно выскакивает при старте. Где же ключик на автозазагрузку этой библиотеки?

**PavelA** · 05.09.2007, 19:01

По-простому - в regedit поиск по FNGMHLIB.
По-сложному - лог GetSystemInfo с сайта Касперского.

**Зайцев Олег** · 05.09.2007, 19:25

AVZ, меню "Сервис\Поиск данных в реестре". там в поле "Образец" следует ввести FNGMHLIB и нажать пуск. Полученный лог нужно поместить сюда

**Acer** · 05.09.2007, 19:33

Зайцев Олег,
по-мойму ничего не нашлось

Модуль для поиска данных в реестре, Зайцев О.В., 2004., http://z-oleg.com/secur
Запущен поиск ключей, содержащих образец "fngmhlib"
-- Поиск в HKEY_LOCAL_MACHINE --
-- Поиск в HKEY_CURRENT_USER --
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск завершен --
Просмотрено ключей: 160932

**PavelA** · 05.09.2007, 20:03

Просмотри "менеджер автозапуска" в AVZ. Может там чего осталось.

**Bratez** · 06.09.2007, 02:38

Вот разобраться бы ёщё с "Could not load DLL: FNGMHLIB".

В сообщении только эта фраза, никаких наводок, какой именно программе нужна эта библиотека?

Запущен поиск ключей, содержащих образец "fngmhlib"

Возможно, "размер имеет значение"? Попробуйте образец заглавными.

Да и почему бы не попробовать скриптом:

Код:

begin
SysCleanAddFile('C:\WINDOWS\system32\FNGMHLIB.dll');
ExecuteSysClean;
RebootWindows(true);
end.

(ведь на удаленный FNGKHLIB ссылка не вылазит, значит ExecuteSysClean ее зачистил).

**Палыч** · 06.09.2007, 13:30

Напоминаю: Acer это я, но не с домашней машины, а с клиентской. IMHO так безопасней для форума.

Поиск по Гуглю показал, что эта библиотека является компонентом Automail. Который, в свою очередь, входит в состав ПО, поставляемое вместе с Ровербуком.
Насколько я понял, некоторые антивирусы относят эту библиотеку к разряду потенциально опасного ПО. Якобы она мониторит процессы. Наверно её Панда грохнула. Причём -- давно, ещё до сабжевого заражения.

Вывод: поищу AutoMail в Автозагрузке и уберу его оттуда.

Всем спасибо за помощь.