Показано с 1 по 9 из 9.

Подозрение на новое тело руткита/буткита (заявка № 127687)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2012
    Сообщений
    4
    Вес репутации
    20

    Подозрение на новое тело руткита/буткита

    Доброго времени суток!

    22.11.2012 (возможно, несколько ранее) в системе поселился зловред...

    Особо заметных изменений в систему еще не внес:
    1. Запуск системы визуально и по ощущениям не изменился;
    2. Завершение работы стало немного продолжительнее, чем ранее;
    3. Во время работы системы явно заметных изменений нет, за исключением следующих:
    3.1. нагрузка на процессор - незначительно увеличилась (~ на 5-15%);
    3.2. таблица маршрутизации:
    - при наличии интернет-трафика в таблицу маршрутизации самопроизвольно добавляются маршруты;
    - после перезапуска системы самопроизвольно добавленные маршруты не сохраняются;
    - при отсутствии интернет-трафика маршруты самопроизвольно не добавляются;
    - при ручном удалении самопроизвольно добавленных маршрутов данные маршруты повторно не появляются;
    - в самопроизвольно добавляющихся маршрутах:
    а) сетевой адрес - всегда разный (возможно по времени, или из полученных по сети пакетов);
    б) маска сети - всегда /32 (255.255.255.255);
    в) адрес шлюза - всегда соответствует системному шлюзу (указанному мной в настройках интерфейса);
    г) интерфейс - всегда соответствует системному адресу (указанному мной в настройках интерфейса);
    д) метрика - всегда равна единице;
    3.3. в интернет-браузере (Mozilla Firefox 13.0.1) появилась незначительная задержка между моментами окончания ввода адреса и начала открытия страницы (возможно, используется перенаправление трафика).

    Полный текст сообщения см. во вложении "virusinfo.txt".
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Zhazha, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\DOCUME~1\MENT\LOCALS~1\Temp\VFSUXLYJLH.exe','');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteWizard('TSW',2,2,true);
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    26.11.2012
    Сообщений
    4
    Вес репутации
    20
    Карантин выслал.

    Повторюсь. Про "autorun.inf" и "VFSUXLYJLH.exe" я уже отписался во вложении "virusinfo.txt".

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
    http://virusinfo.info/showthread.php?t=40118
    и приложите его в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    26.11.2012
    Сообщений
    4
    Вес репутации
    20

    Log Gmer

    Лог находится во вложении "zwjesf1z.log" (имя файла соответствует GMER 1.0.15.15641, скачанному по указанной вами ссылке) - лог не полный!!!

    ПРИЧИНА обрезанности лога:

    1. GMER на стартовом сканировании отработал нормально (окно с иконкой консольного приложения и без надписи). После нажатия кнопки Scan (с помеченным диском C:\ [помечен по умолчанию]) по прошествии нескольких секунд молча "выпал" из ОЗУ.

    2. При повторном запуске, GMER на стартовом сканировании отработал нормально (окно с такой же иконкой и с надписью "GMER 1.0.15.15641"). После нажатия кнопки Scan (диск C:\ помечен по умолчанию) по прошествии нескольких секунд снова молча "выпал" из ОЗУ.

    3. Деактивировал Comodo и Dr.Web. Повторно запустил GMER. На стартовом сканировании отработал нормально (окно с такой же иконкой и с такой же надписью). После нажатия кнопки Scan (диск C:\ помечен по умолчанию) по прошествии нескольких секунд выдал стандартное окно ошибки приложения XP (в момент сканирования \Ntfs), но основное окно осталось рабочим. Поэтому, во вложении "zwjesf1z.log" содержится только то, что GMER смог сохранить по нажатию кнопки Save.

    Каталог с файлами XP, содержащими информацию об ошибке GMER, я сохранил, могу выложить.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Не вижу у вас ничего подозрительного.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    26.11.2012
    Сообщений
    4
    Вес репутации
    20

    surprised, confused, annoyed

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Не вижу у вас ничего подозрительного.

    И это все???
    А ничего, что за окном ноябрь и следующий год - 13-й?
    Ничего, что эксперты Anti-Malware.ru, анализируя уходящий год, отмечают относительное затишье в появлении новых вирусных алгоритмов, и при этом также отмечают увеличение количества модификаций буткитов???

    Вы, возможно, сомневаетесь, но я практически уверен, что кому-то кто-то в ноябре 2008-го тоже сказал, что "ничего нет". И сколько потом админов ночами не спали, чтоб избавиться от Conficker??? (Он же: Downup, Downadup, Kido.) А сколько лет понадобилось, чтоб "поймать за хвост" Flame???

    Допустим, система чиста...
    Тогда будьте так добры, не сочтите за нескромность, скажите, пожалуйста, ЧЕЙ это код впиндюривает левые роуты? Кому нужны каналы связи с левыми адресами? Microsoft-у??? Adobe??? Dr.Web-у??? Ну, ваше мнение? Кому??? Или скажете, что это - динамическая маршрутизация?

    Список адресов по левым роутам (остальные не помню) см. во вложении "ipsinfo.txt".
    А, ведь, среди них: Украина, Российская Федерация, Литовская Республика, Соединенные Штаты Америки.

    И с какого такого перепугу, позвольте спросить, GMER свалился по ошибке при проверке "\Ntfs" и, как следствие, так и не завершил сбор информации о системе???

    Почему зеркало MFT находится "черт знает где" (в начале диска), а не ровно по средине (кластер 4114296 [26,958%] вместо кластера 7630871 [50,0%])???

    Почему начало самой MFT смещено приблизительно на -5% от обычного (кластер 747467 вместо кластера 786432)?

    Пару раз насиловал свободный хард: создавал Active Primary Partitions разных размеров с установкой точно такой же ОС-и, занулял MBR и VBR, создавал снова, заливал всякий мусор и дефрагментировал - и все это вперемешку др. с др. по нескольку раз - так и не добился смещения ни самой MFT (ее начала), ни ее зеркала.

    Я три дня ковырял систему, прежде чем обратиться.
    И я практически уверен, что "зараза" пролезла, прикрылась, но ничего популярного затянуть не успела, поскольку система в инет практически не выходила, пока я ею занимался.

    И опять же, повторюсь. Было желание и была возможность поймать и передать в Dr.Web, Kaspersky, Simantec.

    И вот итог. Пока я велся на ваши "инет выключи", "собери логи", "инет включи", "собери логи", "НИЧЕГО НЕ ВИЖУ"... Систему почти полностью сожрали...

    Да, маршруты больше не появляются.
    Почти постоянная загрузка ЦП на 100% на уровне апаратных прерываний, если это о чем-то говорит.

    Dr.Web (который в системе), таки, умудрился отловить старый Trojan.Hooker.262, Trojan.Hooker.263 (дата модификации файла с телом: 28.07.2000 01:15, создан: 25.11.2012 18:37, пойман: 25.11.2012 18:37, добавлен в АВ-базу 23.10.2007).

    Случаем не подскажете, зачем новому руткиту/буткиту старый троян?

    Не нужна помощь. Все. Система под снос с полной очисткой всего харда.

    Закрывай тему. Удаляй акаунт. Здесь не с кем советоваться.

    Ресурс для домохозяек.
    Вложения Вложения

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Zhazha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Хелп! 2 руткита!
      От Дима Каляркин в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.10.2012, 18:18
    2. Хелп, походу что то новое...
      От Aleksey1982 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.09.2010, 11:05
    3. Ответов: 34
      Последнее сообщение: 05.02.2010, 20:11
    4. Ответов: 13
      Последнее сообщение: 28.06.2009, 19:16
    5. Новый вариант буткита Mebroot
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 6
      Последнее сообщение: 14.04.2009, 09:12

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00160 seconds with 17 queries