RkUnhooker report generator v0.6
==============================================
Rootkit Unhooker kernel version: 3.31.150.420
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
NtOpenProcess
Actual Address 0x8866EA60
Hooked by: Unknown module filename
NtOpenThread
Actual Address 0x8866EE80
Hooked by: Unknown module filename
NtSuspendProcess
Actual Address 0x8866F460
Hooked by: Unknown module filename
NtSuspendThread
Actual Address 0x8866F280
Hooked by: Unknown module filename
NtTerminateProcess
Actual Address 0x8866EC90
Hooked by: Unknown module filename
NtTerminateThread
Actual Address 0x8866F0B0
Hooked by: Unknown module filename
Во вложении - парочка репортов и пара странных файлов в архиве.
Анхукером ничего из репортов не убивается (вернее, убивается и загружается снова). Жить вроде бы не мешает, но время от времени верещит нод, удаляет со всех дисков какой-то вирус (во вложении hxtaqc.rar, вытащен из карантина) и появляется (опять же на всех ЛД) пустой файл без расширения - kht. Если его удалить - эпопея продолжается, если оставить нод не верещит, ничего не появляется.
Вот и не пойму, что с этим делать.
Последний раз редактировалось Rene-gad; 27.04.2009 в 14:28.
Причина: удалены ненужные прикрепленые файлы
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Для начала нужно выполнить вот эти правила: Правила. =)
PS. Потом может дойдет дело и до RkU, однако пока еще рано говорить о чем-то конкретном!
PPS. В присланном вами архиве находится червь W32.Harakit по классификации Symantec'а.
Последний раз редактировалось aintrust; 27.04.2009 в 14:00.
PS. Будьте проще - я думаю, дело вовсе не в руткитах. Выполните правила - хелперы посмотрят ваши файлы, потом будет более-менее ясно, где и что искать.
Хочу добавить, что автораны высвеченные в отчете - пустые. После нашествия Kido. Я их сам отредактировал (ибо вылечить не мог) и выставил свойства "только чтение".
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Больше ничего подозрительного не видно. Жалобы есть?
Дак собственно нафик мне suspicious процессы в памяти и систематическое появление екзешников Win32/Packed.Autoit.Gen (по версии нод32)?
Причем я переставил ОС не так давно (недели 3 назад). На отформатированный винт, первое что было поставлено после ОС - антивирус и обновлены базы. На других 2-х винтах, были прописанные мной, пустые автораны (рид-онли). Но проблема сама собой возобновилась. Вопрос ОТКУДА?
Добавлено через 9 часов 3 минуты
Господа, каков в итоге ваш вердикт?
Последний раз редактировалось mikko; 28.04.2009 в 21:06.
Причина: Добавлено
Дак собственно нафик мне suspicious процессы в памяти и систематическое появление екзешников Win32/Packed.Autoit.Gen (по версии нод32)?
Причем я переставил ОС не так давно (недели 3 назад). На отформатированный винт, первое что было поставлено после ОС - антивирус и обновлены базы. На других 2-х винтах, были прописанные мной, пустые автораны (рид-онли). Но проблема сама собой возобновилась. Вопрос ОТКУДА?
Добавлено через 9 часов 3 минуты
Господа, каков в итоге ваш вердикт?
Ну, откуда NOD берет эти EXE - загадка ... если ПК входит в ЛВС, то можно предположить, что это результаты атаки четевого червяка. Следует проставить все заплатки безопасности, пароли на все учетные записи символов по 6-10, отключить удаленный реестр и админшары, выключить автозапуск. И когда появится очередной такой EXE, восстановить его из карантина NOD, сам нод выключить, файл восстановленный заархивировать и прислать по правилам. Будет семпл - можно предметно сказать, что это за зверь и как с ним воевать
Ну, откуда NOD берет эти EXE - загадка ... если ПК входит в ЛВС, то можно предположить, что это результаты атаки четевого червяка. Следует проставить все заплатки безопасности, пароли на все учетные записи символов по 6-10, отключить удаленный реестр и админшары, выключить автозапуск. И когда появится очередной такой EXE, восстановить его из карантина NOD, сам нод выключить, файл восстановленный заархивировать и прислать по правилам. Будет семпл - можно предметно сказать, что это за зверь и как с ним воевать
Олег, спасибо!
Это ЛВС, все заплатки я скачал при установке Windows, а в карантине уже целый паноптикум. Один из EXE (в первом посте) - как раз из карантина. Могу добить и второй карантинный екзешник с другим именем.
А что вас смущает, перехваты NtOpenProcess ... NtTerminateThread "неизвестным" модулем ядра? Они у вас как были в самом начале, так и остались до сих пор. Очень похоже на перехваты драйвера IceSword, но вполне возможно, что это может быть Hypersight Rootkit Detector или что-то подобное...
Последний раз редактировалось aintrust; 30.04.2009 в 09:30.
Ну, сам факт попыток модификации CR0 еще не является криминалом, хотя и может являться косвенным признаком наличия чего-то нелигитимного в системе. Тем не менее, одного лога Hypersight'а совершенно недостаточно - у вас в системе много всякого софта, который может провоцировать поведение такого рода. Для начала деинсталлируйте весь "лишний" защитный софт типа IceSword, затем сделайте лог GMER'а - посмотрим, что будет там.
Ага, только Gmer у вас старенький и надо было сделать полный Scan.
Давайте сделаем так:
1) отключитесь от сети/Интернет;
2) удалите весь защитный или похожий на него софт (nod32 в том числе), который вы когда-либо ставили - мне хочется видеть более-менее чистую систему;
3) сделайте лог AVZ (мне достаточно только syscheck);
4) установите RkU и сделайте в нем полный отчет (вкладка Report -> Scan). Если сканирование файлов занимает очень много времени, можно исключить из отчета позицию Files. Также я хотел бы получить дампы всех "подозрительных" областей памяти (тех областей, на которые есть ссылки в перехватах, но нет имен файлов). Неплохо бы также сделать Quick Report'ы тех закладок, в которых вы найдете перехваты;
5) удалите RkU, запустите последний Gmer (gmer.zip) и сделайте в нем отчет;
6) пришлите все полученные файлы.
Последний раз редактировалось aintrust; 30.04.2009 в 15:51.
А что же nod32 не деинсталлировали?
Драйвер IceSword живет в системе, его надо удалить через реестр или AVZ.
То же касается драйвера Hypersight.
И где дампы?
Уважаемый(ая) mikko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: