-
Junior Member
- Вес репутации
- 70
Удаление rootkit
Чистил у знакомых комп, AVZ нашел скрытый процесс elitelod.exe (или что-то типа этого). Ну, нашел, а что дальше? В виде файла его нет Что удалить - непонятно... Подскажите, как вычистить это безобразие?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Удаление rootkit
Сообщение от
Energizer
Чистил у знакомых комп, AVZ нашел скрытый процесс elitelod.exe (или что-то типа этого). Ну, нашел, а что дальше? В виде файла его нет
Что удалить - непонятно... Подскажите, как вычистить это безобразие?
Включить противодействие руткитам. После этого поискать файл из самого АВЗ и поместить в карантин.
Так же процесс этот можно будет убить из менеджера процессов АВЗ, а после этого он должен быть виден на диске, и можно будет его удалить. Файл прислать нам.
-
-
Junior Member
- Вес репутации
- 70
Re:Удаление rootkit
В AVZ включал "Блокировать работу rootkit", и AVZ честно блокировал. Или просто писал, что блокировал Процесс убивал с помощью менеджера процессов самого AVZ, но файл на диске не появлялся Файл средствами AVZ не пробовал искать, но любыми другими средствами его увидеть не удалось.
В реестре нашел несколько записей (опять же с помощью AVZ) про этот Elitelod - удалил. Но одна запись постоянно восстанавливается, что неудивительно, раз сервис до конца не прибивается...
Самое интересное, что когда сканировал этот диск, загрузившись с другого раздела, то он не находит этого файла. Хотя находит другие Видимо, тоже от этого Elitelod...
Код:
Протокол антивирусной утилиты AVZ версии 3.20
Сканирование запущено в 02.05.2005 14:48:55
Загружена база: 12964 сигнатуры, 1 нейропрофиль, 43 микропрограммы лечения
Загружены микропрограммы эвристики: 226
Загружены цифровые подписи системных файлов: 29483
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=076EC0, RVA=076EC0)
2. Проверка памяти
Количество найденных процессов: 11
Процесс f:\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,tapi32.dll)
Количество загруженных модулей: 201
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1ZUGHUS\protector_update[1].exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\Documents and Settings\Natasha\Local Settings\Temporary Internet Files\Content.IE5\O1EFGH67\russia[1].exe>>> подозрение на Dialer.PlayGames.b ( 074A29FC 07879342 0022A19B 001FBD3D 16456)
C:\Documents and Settings\Natasha\msdirectx.sys>>>>> Вирус !! Trojan.Win32.Rootkit.h успешно удален
C:\WINDOWS\Downloaded Program Files\v3.dll>>>>> Вирус !! AdvWare.ToolBar.EliteBar.s успешно удален
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll>>>>> Вирус !! AdvWare.ToolBar.EliteBar.z успешно удален
C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll>>>>> Вирус !! AdvWare.ToolBar.EliteBar.af успешно удален
C:\WINDOWS\system32\elitebra32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitecai32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\eliteggb32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitelhg32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\eliteosm32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\eliteozw32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitetfg32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitevpi32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitewfu32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitexlz32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitexnw32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\eliteyif32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\eliteyza32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\elitezhb32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk успешно удален
C:\WINDOWS\system32\msdirectx.sys>>>>> Вирус !! Trojan.Win32.Rootkit.h успешно удален
C:\WINDOWS\system32\msnsvc.exe>>>>> Вирус !! Backdoor.Win32.SdBot.gen успешно удален
C:\WINDOWS\system32\russia.exe>>> подозрение на Dialer.PlayGames.b ( 074A29FC 07879342 0022A19B 001FBD3D 16456)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 4 TCP портов и 6 UDP портов
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (svchost.exe)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 51073, найдено вирусов 21
Сканирование завершено в 02.05.2005 14:58:02
Сканирование длилось 00:09:10
-
Re:Удаление rootkit
Короче нужны полные логи как положено.
-
-
Re:Удаление rootkit
Сообщение от
Energizer
В AVZ включал "Блокировать работу rootkit", и AVZ честно блокировал. Или просто писал, что блокировал
Процесс убивал с помощью менеджера процессов самого AVZ, но файл на диске не появлялся
Файл средствами AVZ не пробовал искать, но любыми другими средствами его увидеть не удалось.
....
Вот в этом и ошибка - нейтрализатор руткита AVZ действует только на процесс AVZ - именно поэтому после деактивации руткита сам AVZ "видит" маскируемые процессы, файлы, ключи реестра и т.п., а все остальные программы - по прежнему не видят, т.к. деактивация на них не распространяется. Поэтому поиск нужно вести именно их AVZ после сканированя с деактивацией руткита, удаление - тоже.
Визуально по логу руткит-модуль EliteBar убит (т.к. перехватиа нет), а для "уточнения диагноза" конечно нужны полные логи ...
-
-
Junior Member
- Вес репутации
- 70
-
Re:Удаление rootkit
Сообщение от
Energizer
если получится выцепить файлик, то и его притащу... если надо, конечно. Я так понимаю, что не очень надо, раз AVZ об этом модуле знает.
Не уверен, что AVZ знает его "в лицо", а обнаружил его, скорее, с помощью специальных методик по обнаружению скрытых процессов, так что присылайте файлик, если найдете - если в базе AVZ его нет, то Олег, скорее всего, сделает вакцину
-
-
Junior Member
- Вес репутации
- 70
Наконец-то я добрался до этого компа с вредным руткитом...
Самое интересное, что на этот раз его не оказалось (если верить AVZ 3.50, а в тот раз было AVZ 3.20), зато оказалось много новых зверушек и новый руткит - zzzx3yo.exe
Ситуяйция опять такая же: AVZ видит, но ничего не делает. После убивания процесса с помощью AVZ, файл все равно на диске не появляется. Искал и с помощью AVZ, и с помощью Total Commander.
В итоге, скопировал этот процесс в карантин AVZ, посмотрел размер файла (127 488 байт), нашел единственный файл с таким размером stuff[1].exe (он оказался в Temporary Internet Files, то есть явно с инета залетел), удалил, перегрузился... фиг! ничего не изменилось
Грязно и витиевато выругавшись, загрузился с другого раздела. И наконец-то смог увидеть этот zzzx3yo.exe! Кстати, в прошлый раз с Elitelod такой трюк не получался почему-то... Ну, копирнул файлик на флешку, в каталоге прибил, перегрузился - все пучком Никто ничего не перехватывает, не маскируется... Заодно еще и в реестре нашел записи этого руткита, опять же скопировал на флешку. Так что, если надо, то могу выслать для исследований...
Кстати, есть несколько файликов, на которые AVZ ошибочно ругается, подозревая их в непорядочности Например, switchit.cpl и AdMunch.dll. Первый - это обычный переключатель клавы, второй - удалитель рекламы в инете. Куда прислать файлики?
Кролики - это не только ценный мех!
-
Total Commander здесь врят ли поможет, лучше Far, а как искать файлы на компе читай инструкцию, есть в правилах
Последний раз редактировалось anton_dr; 02.08.2007 в 21:40.
-
Сообщение от
Energizer
Куда прислать файлики?
admin собака virusinfo.info
-
-
Junior Member
- Вес репутации
- 70
Сообщение от
egik
Total Commander здесь врят ли поможет, лучше Far, а как искать файлы на компе читай инструкцию, есть в
правилах
С каких это пор Total Commander разучился файлы искать? И ФАР тут ничем не лучше, кстати. Если так рассуждать, то и AVZ не умеет файлы искать, раз он ничего не нашел...
А инструкция в правилах для новичков, которые не знают ничего про аттрибуты файлов. Я знаю, честное слово
Последний раз редактировалось anton_dr; 02.08.2007 в 21:41.
Кролики - это не только ценный мех!
-
Сообщение от
Energizer
С каких это пор Total Commander разучился файлы искать?
И ФАР тут ничем не лучше, кстати. Если так рассуждать, то и AVZ не умеет файлы искать, раз он ничего не нашел...
А инструкция в
правилах для новичков, которые не знают ничего про аттрибуты файлов. Я знаю, честное слово
Искать файлы руткита нужно только в АВЗ, и только после того как было включено противодействие руткитам и выполнено сканирование.
Последний раз редактировалось anton_dr; 02.08.2007 в 21:41.
-
-
Junior Member
- Вес репутации
- 70
Сообщение от
Geser
Искать файлы руткита нужно только в АВЗ, и только после того как было включено противодействие руткитам и выполнено сканирование.
Так и делал. Результат - ноль...
Кролики - это не только ценный мех!
-
Сообщение от
Energizer
Так и делал. Результат - ноль...
НУжно было сохранять логи АВЗ. Теперь единственная возможность узнать в чем ыла проблема - это послать этот файл Олегу. Хотя не факт что в системе не остался драйвер который этот файл маскировал. неплохо бы увидеть логи с того компютера.
-
-
Junior Member
- Вес репутации
- 70
Сообщение от
Geser
НУжно было сохранять логи АВЗ. Теперь единственная возможность узнать в чем ыла проблема - это послать этот файл Олегу. Хотя не факт что в системе не остался драйвер который этот файл маскировал. неплохо бы увидеть логи с того компютера.
Есть логи, есть! Теперь-то я сохранил все. Сейчас покажу...
Кстати, файлики выслал. И чистые, и с руткитом.
Кролики - это не только ценный мех!
-
Junior Member
- Вес репутации
- 70
Вот они, логи...
rud_1.txt - самое начало.
Кстати, AVZ не понимает свои же файлы в Infected и Quarantine. Это видно по сканированию диска Е, где был каталог с AVZ от прошлого раза.
Надо заметить, что NAV, например, на свой карантин не ругается...
rud_2.txt - дополнительно удалил руками подозрительные файлы.
rud_3c.txt - нашлись новые гадости. Почему их нет во втором сканировании?
rud_4.txt - тут уже все чисто, кроме одного руткита.
Ну, совсем чистый лог сохранять не стал
Кролики - это не только ценный мех!
-
Проведём следственный эксперемент. Создай текстовый файлик, переименуй его в zzzx3yo.exe и положи в
C:\WINDOWS\System32\
Этот файл виден, или исчезает?
(Конечно всё на том компе на котором был руткит)
-
-
Junior Member
- Вес репутации
- 70
Сообщение от
Geser
Проведём следственный эксперемент. Создай текстовый файлик, переименуй его в zzzx3yo.exe и положи в
C:\WINDOWS\System32\
Этот файл виден, или исчезает?
(Конечно всё на том компе на котором был руткит)
Хм, боюсь, что я теперь там не скоро окажусь....
Но чисто теоритически, никуда он не исчезнет... если его не запускать В реестре про него записи я тоже удалил...
Опс! Или есть мнение, что в системе сидит нечто, что будет пытаться загрузить это zzzx3yo.exe?
Кролики - это не только ценный мех!
-
Сообщение от
Energizer
Опс! Или есть мнение, что в системе сидит нечто, что будет пытаться загрузить это zzzx3yo.exe?
Угу, драйверок какой-то
-
-
Junior Member
- Вес репутации
- 70
Сообщение от
Geser
Угу, драйверок какой-то
Ну что ж, тогда, как говорится, "оставайтесь с нами"
... to be continue...
Кролики - это не только ценный мех!