Хвосты неизвестного руткита

[Alex/AT]

Почистил с машины ctfmon.exe и сладкую парочку Iou63.sys + WLCtrl32.dll. (на остатки в реестре нотифаера Winlogon - WLCtrl32 внимания не обращаем - самого файла уже нет...).

Однако висит непонятный хвост - перехватчик вызовов API реестра, и висят непонятные драйверы dump_nvata.sys и dump_wmilib.sys, не имеющие аналогов в файловой системе (смотрел с загрузочного диска).

Имя файла перехватчика (spqq.sys, spab.sys) - каждую перезагрузку меняет последние две буквы. На диске таких файлов нет.

В удаленных Iou63 и WLCtrl32 присутствовала хорошо заметная строка "mutantofthefuture" (в пути к некоторому исходнику). Сами файлы сохранились, если надо - могу прислать.

Что бы могло такое быть? Как бороться? Подскажите.

Логи прикладываю.

[drongo]

.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\IPTrac\iptrac.exe','');
 QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
 QuarantineFile('C:\Program Files\Common Files\Teleca Shared\boost_log-vc71-mt-1_33.dll','');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Сами файлы сохранились, если надо - могу прислать.

- добавить к карантину .

P.S. удалите на время ваш эмулятор дисков (spqq.sys, spab.sys) - скорее всего от него.

[Alex/AT]

080301_114237_DMP_47c9958da99af.zip - файлы, оставшиеся от прошлого анализа - там сохранился Iou63, к сожалению только в виде дампа, сделанного AVZ, настоящий уже не нахожу - вероятно хозяева машины удалили.

В нем же есть дампы перехватчика (sv??.sys), две штуки. В нем же WLCtrl32.dll. В нем же дампы хитрых dump_??? модулей ядра.

080301_114510_2008-03-01_47c9962657084.zip - карантин по последнему скрипту. IPTrac - 100% чистая программа (своя) r_server.exe - RAdmin. Третье - не знаю, что.

Эмулятор дисков (Alcohol) удалил. Перехватчик после ребута не пропал, так и висит.

[V_Bond]

sv??.sys - это от даймон тул ...
WLCtrl32.dll - зловред
dump_??? - системные

[Alex/AT]

Поглядел файлик дампа поподробнее - да, действительно похож на эмулятор диска.

Проблема в том, что Daemon Tools на этой машине нет, и вероятно (100% утверждать не могу, к сожалению) не ставилось (народ даже не знает, что это такое, ОС ставил я). Файлы sv??.sys и каталоги Daemon Tools на диске тоже обнаружить не удалось.

Ну да ладно, основной вирь по сути был до этого почищен, и хорошо

Спасибо.

Добавлено через 5 минут

PS. Еще кое-какие детали вспомнил. Iou63.sys никак не давал себя ни скопировать, ни удалить. Даже в Safe Mode. Даже AVZ. Даже AVZ в Safe Mode. Даже отложенным удалением (скриптом). Пришлось удалять, загружаясь с загрузочного диска.

[V_Bond]

PS. Еще кое-какие детали вспомнил. Iou63.sys никак не давал себя ни скопировать, ни удалить. Даже в Safe Mode. Даже AVZ. Даже AVZ в Safe Mode. Даже отложенным удалением (скриптом). Пришлось удалять, загружаясь с загрузочного диска.

авз его пока не берет ....

[Alex/AT]

А кем можно такое прибить, если не секрет?

Не, загрузочный диск + руки - это есть тру, это наиболее надежно, но все же...

[V_Bond]

Ice Sword

[Alex/AT]

Спасибо, буду изучать

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22
  2. \\iou63.dmp - Trojan-Downloader.Win32.Mutant.aim
  3. \\wlctrl32.dll - Trojan.Win32.Small.agv (DrWEB: BackDoor.Bulknet.157)