Непонятные перехватчики

[a1822]

Внезапно начали падать одна за другой программы с ошибкой доступа к памяти. Снял винт, на другой машине прогнал свежий CureIt, он нашёл ntos.exe и ещё парочку файлов и все их удалил. После этого машина ведёт себя с виду нормально, но AVZ пишет странную вещь в логе при проверке:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtResumeThread нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSARecv (71) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSARecv нейтрализован
Функция ws2_32.dll:WSASend (76) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSASend нейтрализован
Функция ws2_32.dll:closesocket (3) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции closesocket нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:recv (16) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции recv нейтрализован
Функция ws2_32.dll:send (19) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции send нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text

В процессах и в драйверах вроде ничего подозрительного. Теряюсь в догадках.

[Гриша]

Это нормально,выполните в AVZ:

Код:

begin
QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22517

[a1822]

Файл сохранён как 080506_084726_virus_4820616e5a1a4.zip
Размер файла 31902
MD5 5e059f7c328ea3d3ff0765892e78fe5f

А если не секрет, кто перехватывает функции? Просто интересно.

[Гриша]

Все по-немножку,средства защиты и прочее программы,Userinit.exe у вас подмененный,его нужно заменить на чистый из дистрибутива

[a1822]

Хм. Поменял userinit на дистрибутивный, перезагрузился, и сразу странные перехваты пропали. Похоже, он и был злодеем.

На всякий случай ещё лог сделал.

[Гриша]

В логе чисто...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\userinit.exe - Rootkit.Win32.Agent.aiv (DrWEB: Trojan.PWS.Lich)