Завелся руткит?

[Helgin]

При загрузке компа были подозрительные запросы от файла SVHOST.exe .
Выполнил правила - подозрения на руткит

[V_Bond]

выполните скрипт ....

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\P17.dll','');
 QuarantineFile('C:\SOFT\Squid\cmd\logrotation.cmd','');
 QuarantineFile('C:\SOFT\Squid\cmd\rotatedemon.cmd','');
end.

пришлите карантин согласно приложения 3 правил ....
сделайте лог http://virusinfo.info/showthread.php?t=10387

[Helgin]

Скрипт выполню, а карантинный архив не влез... Он туда от души напихал файлов от Outpost Firewall Pro
SQUID мне не нужен в наст. время могу совсем снести...

[Numb]

Карантин не нужно прикреплять к теме - загрузите его по ссылке http://virusinfo.info/upload_virus.php?tid=14575

[Helgin]

Скрипт Информация для Virusinfo собраный в системе, загруженной штатным образом. Скрипт выполнил, файлы приложены

[V_Bond]

нужен карантин ....
выполните скрипт...

Код:

begin
 ClearQuarantine;
end.

затем скрипт из поста 2 ....
карантин загрузите по ссылке ... http://virusinfo.info/upload_virus.php?tid=14575

[Helgin]

Дык загружал же... по ссылке карантин по результатам пыполнения скрипта.
Или его надо было запускать в Safe Mode, и включенном в AVZ режиме борьбы с kernel руткитами ?

[V_Bond]

присланные файлы чистые .....
сделайте лог http://virusinfo.info/showthread.php?t=10387

[Helgin]

Ок. Результат выполнения скрипта по поиску Rootkit:

Код:

1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100924DE]
 >>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1009250A]
 >>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1009219A]
 >>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[10092116]
 >>> Код руткита в функции ExitWindowsEx нейтрализован
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[10092142]
 >>> Код руткита в функции SetForegroundWindow нейтрализован
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1009216E]
 >>> Код руткита в функции SetWindowPos нейтрализован
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text

В Логе IVVPVUPVNQDI.exe - файл созданный rootkitrevealer-ом при запуске.
Результат запуска AntiRootkit утилиты:

Код:

E:\Distrib\security\Rootkit\modGREPER-0.3-bin>modgreper -h
modGREPER 0.3, written by Joanna Rutkowska (2005)
http://invisiblethings.org
searching phase 1 completed.
searching phase 2 completed.

? 804d7000 - 806e2000 : \WINDOWS\system32\ntkrnlpa.exe
? 806e2000 - 80702d00 : \WINDOWS\system32\hal.dll
? bada8000 - badaa000 : \WINDOWS\system32\KDCOM.DLL
? bacb8000 - bacbb000 : \WINDOWS\system32\BOOTVID.dll
? badaa000 - badac000 : \WINDOWS\system32\DRIVERS\WMILIB.SYS
? bab28000 - bab2f000 : \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
? ba6dd000 - ba6f5000 : \WINDOWS\system32\drivers\SCSIPORT.SYS
? ba8f8000 - ba905000 : \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
? bab38000 - bab3d000 : \WINDOWS\system32\drivers\TDI.SYS
? b6a9f000 - b6ab7000 : \SystemRoot\System32\Drivers\dump_atapi.sys
? bae5a000 - bae5c000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYS
? b4346000 - b436a000 : \SystemRoot\System32\Drivers\IsPubDrv.sys
? bae50000 - bae52000 : \??\C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS

THERE ARE 13 SUSPECTED MODULE(S)!!!

[V_Bond]

выполните скрипт ...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\DOCUME~1\Helgin\LOCALS~1\Temp\IVVPVUPVNQDI.exe','');
BC_Importall;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[Helgin]

выполните скрипт ...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\DOCUME~1\Helgin\LOCALS~1\Temp\IVVPVUPVNQDI.exe','');
BC_Importall;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

Это файл созданный Rootkit Revealer после его запуска.
Проблема теперь в другом. Накернилась вся винда - при загрузке синий экран с надписью не могу загрузить logon.... чего то кракозябрами.
Буду пытаться реанимировать в Safe mode, или делать инсталяцию поверх (восстановление системы) Посмотрим что будет тогда.

[Rene-gad]

Это файл созданный Rootkit Revealer после его запуска.

Rootkit Revealer создает при работе исполняемые файлы? Никогда не слышал. Выполните пожалуйста скрипт V_Bond.

[Helgin]

Rootkit Revealer создает при работе исполняемые файлы? Никогда не слышал. Выполните пожалуйста скрипт V_Bond.

Как только подниму систему, так прогоню ещё раз сканы, и скрипты.

[Helgin]

Систему удалось поднять только переустановкой с затиранеим предыдущей версии. Режим накатки сверху страшно глючил (на найден файл, укажите где находится - обзор файл видит, но копировать отказывается.)
Таким образом сейчас у меня девственая система, AVZ при запуске сканирования системы ничего красного не выдаёт.
Что сделать , чтобы найти зловреда до того как он опять встроится в систему? Как предотвратить внедрение?
1-е желание сейчас - поставить Каспера и Agnitum но поможет ли от этого?

[drongo]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

[Helgin]

Предложения конечно хорошо, с т.з. ликбеза.
Но конкретно сейчас мне надо будет переставлять все программы, и работать буду под админом для этого. Что мне надо сделать сейчас, пока вируса нет в активной форме? Поможет ли сканирование диска каспером сразу после его установки, если он не ловил руткит до этого?
Или CureIt-ом? Где зловред мог сохраниться? Будет ли KAV 7 (с ключенной проактивкой) препятствовать его инсталяции в систему? А что делать, ведь во время установки софта KAV временно отключается?

[Bratez]

Скорее всего вы удалили вирус вместе со старой системой, но просканировать весь диск KAV'ом со свежими базами лишним не будет.

[Helgin]

СПАСИБО, после переустановки системы проверил свежим cureit, после установки каспера прогнал полную проверку - все чисто. Тем не менее AVZ выдает следующее.
Думаю может это все проявления активности Agnitum Outpost V6?

[V_Bond]

ничего подозрительного в логах ....

[Макcим]

Кстати руткиты без прав админа не устанавливаются