Показано с 1 по 12 из 12.

Имеется подозрение на рооткит. (заявка № 27945)

  1. #1
    Junior Member Репутация
    Регистрация
    30.07.2008
    Сообщений
    6
    Вес репутации
    35

    Thumbs up Имеется подозрение на рооткит.

    Доброго времени.
    Ноутбук с WinXP SP2(поставлена второй раз, поэтому рабочий каталог windows.0). Некоторое время назад появилась зараза, разнообразная и многочисленная, была убита антивирусами(NOD32, DrWeb) и утилитами. Но упорно появляется снова. При проверке AVZ вызывает подозрение строка "C:\WINDOWS.0\system32\Drivers\utezmtu5.sys", такого файла не видно даже под параллельной системой. Был руками создан каталог "C:\WINDOWS.0\system32\Drivers\utezmtu5.sys", но все равно эта строка присутствует в логе AVZ.
    При просмотре "Модули пространства ядра" были замечены пути файлов,указывающие на каталог "C:\WINDOWS.0\0\", в их числе C:\WINDOWS.0\0\system32\hal.dll. Думаю излишне писать, что такого каталога не существует.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqy86.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winem20.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winag52.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\Drivers\utezmtu5.sys','');
     QuarantineFile('C:\IBMTOOLS\drivers\HOTKEY\EZBTNS\JP\EZINIT.EXE','');
     QuarantineFile('C:\CS3000\his\tool\OPCBBrsItem.exe','');
     QuarantineFile('tphklock.dll','');
     QuarantineFile('msvcrt64.dll','');
     QuarantineFile('fanxctrl.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\fanxctrld.sys','');
     DeleteFile('%system32%\fanxctrl.dll');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winag52.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winem20.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqy86.sys');
     DeleteFile('C:\WINDOWS.0\system32\fanxctrld.sys');
     DeleteService('Winag52');
     DeleteService('Winem20');
     DeleteService('Winqy86');
    DelWinlogonNotifyByKeyName('fanxctrl');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('fanxctrld');
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27945 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    30.07.2008
    Сообщений
    6
    Вес репутации
    35
    Выполнил скрипт, прикладываю новые логи.
    В карантине кроме "честных" файлов(EZINIT.EXE - драйвер для выброса лотка привода, OPCBBrsItem.exe - часть от OPC-сервера) не содержиться ничего "вкусного".
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelWinlogonNotifyByFileName('tphklock.dll');    
     DelWinlogonNotifyByKeyName('tphotkey');
     RegKeyDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\msvcrt64.dll');
     QuarantineFile('C:\WINDOWS.0\System32\tphklock.dll','');
     QuarantineFile('C:\WINDOWS.0\System32\msvcrt64.dll','');
     DeleteFile('C:\WINDOWS.0\System32\msvcrt64.dll');
     DeleteFile('C:\WINDOWS.0\System32\tphklock.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27945 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    30.07.2008
    Сообщений
    6
    Вес репутации
    35
    Выполнил скрипт. Прикладываю логи, карантин выслал. Карантин практически пустой. ИМХО, единственный файл который там содержится - "честный".
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    O21 - SSODL: msvcrt64.dll - {9859E253-DD72-4783-B216-9A66011079E7} - msvcrt64.dll (file missing)
    В остальном чисто. Сервис Пак 3 поставьте. Как работает система?

  8. #7
    Junior Member Репутация
    Регистрация
    30.07.2008
    Сообщений
    6
    Вес репутации
    35
    Пофиксил.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    В остальном чисто.
    Вы уверены?
    Вызывают сомнение наличее следующих записей:
    1. Подозрение на RootKit C:\WINDOWS.0\system32\Drivers\utezmtu5.sys.
    2 C:\WINDOWS.0\0\system32\hal.dll и аналогичных.
    Повторюсь - этих файлов не существует.

    WinXP дико долго включается и выключается. В данный момент на этом ноутбуке никаких работ не производится, отдан на "лечение".

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    1. C:\WINDOWS.0\system32\Drivers\utezmtu5.sys - драйвер AVZ, только непонятно, почему он не прошел по базе безопасных. Возможно, глюк.
    2. Похоже на глюк... На всякий случай можете в IceSword, внизу слева в меню File, в аналоге проводника поискать эту папку. Если ее не найдете, то ее нет.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    30.07.2008
    Сообщений
    6
    Вес репутации
    35
    kps
    1. Вы ничего не путаете? В логе запись - "vdezmtu5.sys - AVZ-BC Kernel Driver", подозрение вызывает "utezmtu5.sys". Или это от какой-то прошлой версии AVZ?
    2. IceSword показал, что такой папки нет. Но объясните мне, как может работать windows без "Hardware Abstraction Layer DLL"(hal.dll), "VGA Boot driver"(BOOTVID.dll), "Системной библиотеки NT"(ntdll.dll)? Список можно продолжить, в результате вывода "Модули пространства ядра" 11 позиций, для которых явно видел "левый" путь.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    1. Этот драйвер от AVZ BC, как Вы сами написали (т.е. от BootCleaner). А я говорил о другом.
    2. Эти файлы есть, просто они находятся по правильному пути. А отображение этого пути с нулем - похоже, глюк AVZ. Можете написать об этом здесь: http://virusinfo.info/showthread.php?t=21108&page=17
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    30.07.2008
    Сообщений
    6
    Вес репутации
    35
    1. И в самом деле "хвост" от AVZ. После выполнения скрипта "Удаление всех драйверов ... AVZ" ссылка на "utezmtu5.sys" из лога пропала.
    2. Хотелось бы верить, что проблема заключается в работе AVZ. Но смущает то, что ВСЕ файлы, имеющие такие пути, подозрительны с точки зрения уязвимости системы.
    На данный момент у этого компютера не замечено странной сетевой активности.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 29
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Escher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 29.12.2011, 11:50
    2. Имеется ли зараза?!
      От peps в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.12.2009, 22:24
    3. Имеется зараженная машина
      От [RUS]lan в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.05.2009, 16:58
    4. Ответов: 27
      Последнее сообщение: 24.11.2008, 00:05
    5. Ответов: 3
      Последнее сообщение: 11.12.2006, 11:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00567 seconds with 17 queries