trojan.ntrootkit.321

[Dantes]

я так понимаю и не он один
винда начала грузиться только со второго раза (зависала на бегущей полоске, в какой то момент переставая обращаться к харду и так крутиться вечно). после загрузки через какое то время стал пропадать инет.
CureIt нашел сначала Trojan.NtRootKit.312 и 319 .. потом скачал бету (запустилась только после переименовывания) нашел 321 и еще кучу всякой дури которая вобщем то появляется заного после перезагрузки и повторного поиска.
AVZ без переименовывания не грузился ни в обычном ни в безопасном режиме.

[PavelA]

Карантин убери!!!

А лог прикрепи.

[Dantes]

а чето virusinfo_syscure.zip не появился... тока cure в папке с логами почемуто..

[V_Bond]

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\spooldr.exe','');
 QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
 QuarantineFile('C:\DOCUME~1\E25A~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('\SystemRoot\System32\DRIVERS\tcpip.sys','');
 QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
 DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
 DeleteFile('C:\DOCUME~1\E25A~1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
 BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
 DeleteFile('c:\windows\spooldr.exe');  
  BC_DeleteSvc('ICF');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('runtime');         
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
пофиксите...

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe

сделайте еще один лог http://virusinfo.info/showthread.php?t=10387

[Dantes]

запустил, пофиксил, карантин отправил.
сделал 2 лога - первый в безопасном режиме второй в основном..

[V_Bond]

выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
 DeleteFile('\SystemRoot\System32\drivers\protect.sys');
 BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
 DeleteFile('System32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('System32\DRIVERS\smtpdrv.sys');     
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи, как в первом сообщении ...

Добавлено через 9 минут

MyTotalSearch -вам точно нужен ? сплошные адвари ....
tcpip.sys -пришлите по правилам ... в карантин он не попал ...

[Bratez]

Выполните такой скрипт:

Код:

begin
ClearQuarantine;
BC_QrSvc('asc3550u');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин по правилам.

[Dantes]

вот полные логи как в 1м сообщении

[Dantes]

после выполнения скрипта и перезагрузки карантин пустой.. надо еще раз поиск врубать?

Добавлено через 6 минут

вобщем вот карантин.. в нем и tcpip.sys

[V_Bond]

C:\WINDOWS\System32\DRIVERS\tcpip.sys Trojan.Win32.Patched.ao необходимо заменить на чистый из дистрибутива .... замену производить в безопасном режиме
выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
 BC_DeleteSvc('ICF');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

поищите при помощи поска AVZ файл asc3550u.sys если найдется пришлите по правилам....
повторите логи...

[Dantes]

tcpip.sys заменил. скрипт выполнил. asc3550u.sys не находит. логи прикрепил.

[V_Bond]

выполнить скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\pdbcopy.exe','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\asc3550u.sys','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил....

[Dantes]

скрипт выполнил. карантин отправил.

[Bratez]

В последнем карантине tcpip.sys - Trojan.Win32.Patched.ba
Это карантин до замены или после?

asc3550u действительно отсутствует, pdbcopy.exe тоже.

Пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\pdbcopy.exe,
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

Выполните скрипт:

Код:

begin
BC_DeleteSvc('asc3550u');
BC_DeleteSvc('Inemhostmnsc');
BC_DeleteSvc('Reset 5');
BC_Activate;
RebootWindows(true);
end.

Повторите лог HijackThis.

[V_Bond]

2 Bratez, судя по времени попадания в карантин ... tcpip.sys до замены ..

[Dantes]

пофиксил. выполнил. вот лог HijackThis

[Bratez]

Ну если нынешний tcpip.sys чистый, то больше ничего подозрительного нет.
Осталось разобраться с традиционным набором потенциальных уязвимостей:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[Dantes]

ниче не использую все можно грохнуть)

Добавлено через 6 минут

а ниче что если я запускаю первый стандартный скрипт в avz там куча всяких функций перехватывается?
Проверено функций: 284, перехвачено: 19, восстановлено: 19

[Bratez]

Грохнуть так грохнуть, хозяин - барин
Вот скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

а ниче что если я запускаю первый стандартный скрипт в avz там куча всяких функций перехватывается?

Это смотря кем перехватывается.
Я как раз и хотел предложить напоследок сделать логи AVZ, чтобы убедиться, что все нормально.

[Dantes]

вот сделал через сначала скрипт#1 потом исследование системы с сохранением последнего лога.. функции перехватываются только 1 раз после перезагрузки компа.. после того как он их восстанавливает второй раз уже они не ловятся...