Показано с 1 по 17 из 17.

После поиска в regedit по всему реестру портится GUI программ и перестают запускаться некоторые программы с сообщением bad image, это rootkit? (заявка № 52718)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32

    Exclamation После поиска в regedit по всему реестру портится GUI программ и перестают запускаться некоторые программы с сообщением bad image, это rootkit?

    Здравствуйте!

    Примерно полгода назад на компьютере было обнаружено несколько malware и успешно удалено с помощью malwarebytes' anti-malware, антивирус McAfee VirusScan Enterprise 7.1 с актуальными на тот момент базами ничего не находил. Кроме того запускал ещё несколько антивирусов и anti-malware программ - они ничего не нашли. Думал компьютер чист.

    Пару дней назад заметил интересное: если в regedit.exe сделать поиск по всему реестру, то по окончании поиска текст "поиск успешно завершён" во всплывающем окне не отображается. Более того, текст частично пропадает из GUI запущенных в это время программ (с CLI программами ничего не происходит, far работает нормально, например). Новые программы перестают запускаться с сообщением "Bad image". Иногда бывает, что через пару минут всё становится нормально, иногда - нет.
    Из подозрительной активности заметил, что при подключении к интернету (PPPoE) активно начинает писать и читать с диска со скоростью 30Кб/с процесс svchost.exe. При этом никаких сетевых подключений нет, не мигает лампочка "Activity" на сетевой карте. Кроме того иногда при запуске task manager его окно мерцает и после этого меняется в размерах и оказывается в другом месте экрана (это случается крайне редко).

    В безопасном режиме ничего подозрительного не наблюдается.

    Проверил drweb cure it в безопасном режиме, mcafee virusscan enterprise 7.1 c новыми базами, kav online. kav online нашёл и удалил один BHO, но после этого ничего не изменилось (internet explorer я не пользуюсь).

    Пробовал множество rootkit-детекторов - никто из них ничего не находит. Кроме gmer - он находит подозрительные объекты:
    "Module, Name:_________, Value: F727B000-F7298000 (118784 bytes)", "Device, Name: \FileSystem\Ntfs \Ntfs, Value: 8A7A25D0",
    "Device, Name: \FileSystem\FastFat \Fat, Value: 89227190".
    При попытке сделать dump module для модуля __________ - синий экран. В безопасном режиме всего этого он не находит.

    avz находит скрытые безымянные процессы.
    Комментарии по логам: Alcohol 120% и RivaTuner у меня установлены. C:\TEMP\BXV.exe и C:\TEMP\PCA.exe - это модули Rootkit Revealer-а от Sysinternals.

    Помогите, пожалуйста, если это возможно..
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Обновите базы АВЗ: (Файл/Обновление баз).
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.

    -Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('MEMSWEEP2');
     QuarantineFile('H:\___\sys\PortMon\PORTMSYS.SYS','');
     QuarantineFile('C:\WINDOWS\system32\6.tmp','');
     QuarantineFile('C:\Temp\PCA.exe','');
     QuarantineFile('C:\Temp\BXV.exe','');
     QuarantineFile('C:\Program Files\SoltekHWMON\winio.sys','');
     DeleteFile('C:\WINDOWS\system32\6.tmp');
     DeleteService('MEMSWEEP2');
     DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     BC_DeleteSvc('MEMSWEEP2');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Удалите Bonjour.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Сделайте лог GMER
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32
    Спасибо за быстрый ответ!!

    Выполнил скрипт как Вы писали - при выполнений скрипта появлялись ошибки "программа svchost.exe выполнила недопустимую операцию и будет закрыта". После этого в безопасном режиме я удалил из реестра всё что касается сервиса MEMSWEEP2 и при следующем запуске скрипт выполнился без ошибок.

    Извините, что карантин первый раз отправил без пароля и только потом с паролем.

    Что касается скрипта - диска H у меня нету. Файла C:\WINDOWS\system32\6.tmp тоже не было.
    C:\Temp\PCA.exe и C:\Temp\BXV.exe - это, как я уже упоминал, элементы Sysinternals Rootkit Revealer-а. Файла C:\Program Files\SoltekHWMON\winio.sys сейчас не было, но когда-то давно он входил в утилиту мониторинга для материнской платы фирмы Soltek.

    Что я ещё делал сейчас - удалил Alcohol 120% - все подозрительные сообщения gmer о которых я писал в первом посте исчезли. Просканировал систему с помощью Prevx - он нашёл и удалил одну троянскую dll, правда названия трояна не называл. Установил McAfee VirusScan Enterprise 8.7i с новыми базами и просканировал систему - он ничего не нашёл.

    Странности в поведении системы остались. Более того потеря букв в интерфейсе случилась один раз и в безопасном режиме. Правда пострадал только интерфейс самого regedit.

    Запускал полное сканирование gmer-ом. После него к сожалению не удалось даже сохранить лог. При попытке зайти на любой диск система жаловалась на нехватку ресурсов. Никакую программу запустить было не возможно. Поэтому присылаю архив с некоторыми логами которые он делал в процессе сканирования. gmer_default_scan.log - это быстрое сканироване, которое он выполняет при запуске.

    Интересное наблюдение. Если запускать сканирование в gmer отметив только раздел sections, то он выдаёт странное предупреждение "C:\Temp\mbr.sys The system cannot find the file specified." Такого файла действительно нет, ни в безопасном режиме, ни при загрузке в консоли восстановления (результат такого сканирования в gmer.zip:gmer_sections.log).

    Удалять Bonjour мне не хотелось бы, я также работаю с компьютером фирмы Apple, это обязательно?

    Временные файлы удалил, прикладываю новые логи.
    Ещё раз, большое спасибо!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Прочтите в Правилах в разделе После загрузки инструментов п. 6 до конца

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32
    В прошлый раз я запускал AVZ с деинсталлированным McAfee VirusScan. В этот раз просто отключил его Access Protection, Buffer Overflow Protection и On-Access Scanner при запуске AVZ. Всё остальное делал в соответствии с правилами.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от unconnected Посмотреть сообщение
    Что касается скрипта - диска H у меня нету
    Файла C:\WINDOWS\system32\6.tmp тоже не было.
    Файла C:\Program Files\SoltekHWMON\winio.sys сейчас не было
    Это все видно в логах. Есть оно или нет - я не знаю.
    C:\Temp\PCA.exe и C:\Temp\BXV.exe
    я понял. Карантинил их для базы доверенных файлов.

    Какие жалобы есть?

  8. #7
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32
    Ага, понятно..

    Вот мои жалобы:
    1. Если запустить regedit, выбрать там в меню edit->find и написать какое-нибудь слово, то после того как поиск в реестре будет завершён система начнёт вести себя очень странно - пропадают буквы из интерфейса GUI-программ, которые были запущены к этому моменту. Другие программы не запускаются с сообщением с заголовком "Bad image", в окне сообщения как правило ничего не написано (пропали буквы) или написано "installation diskette." или вот один раз при запуске internet explorer в это время появилось такое сообщение целиком: "The application or DLL C:\windows\system32\ieframe.dll is not a valid Windows image. Please check this against your installation diskette".

    Файлы regedit.exe, ieframe.dll я копировал с другого компьютера с такой же ОС (версия, обновления и т.д.), на которой подобного поведения не наблюдается. Кроме того посмотрел как заполнены Company Name и Version у всех библиотек в C:\windows\system32 - всё заполнено нормально. Наверное, прийдётся скопировать эту папку с того компьютера и побайтно сравнить все файлы..

    2.Процесс svchost.exe пишет на диск и читает с диска с постоянной скоростью в районе 30Kb/s при подключении к интернету.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Сделайте такой лог: http://virusinfo.info/showthread.php?t=37840.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    + к сообщению Rene-gad
    Ничего зловредного не видно.
    Видны перехваты Алкоголя/даемона, Макафи, Акрониса, Вари.
    Проверьте диск на битые секторы, затем можно попытаться восстановить нормальные системные файлы командой sfc /scannow
    Деинсталируйте bonjour
    + В логах виден
    C:\Program Files\Internet Explorer\iexp1ore.rar
    Вредоносный объект Worm.Win32.Agent.p
    пофиксить:
    O4 - HKLM\..\Run: [ShutdownEventCheck] %systemroot%\system32\dumprep 0 -s

  11. #10
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32
    Спасибо, что подсказали ещё одну программу, но похоже, что в её логе тоже ничего подозрительного.. Лог прикрепляю.

    C:\Program Files\Internet Explorer\iexp1ore.rar - это я оставил экземпляр пойманного malware, который пропускает McAfee.

    Диск я проверял вчера - на нём было обнаружено несколько ошибок, которые были исправлены при повторной проверке при перезагрузке. Кстати Alcohol 120% зачем-то прописывает себя в mbr. Программа mbr.exe с сайта gmer определяет его как руткит. Чтобы проверить это, я Alcohol 120% и удалил.

    После всего этого, все симптомы так и остались.

    Alex_Goodwin, Вы правда думаете, что ошибки после поиска в regedit это из-за Bonjour? :-)

    Вызов dumprep уберу оттуда и sfc /scannow попробую сделать сейчас, спасибо!

    Забыл сказать ещё вот что. После установки драйвера vba32arkit_beta и перезагрузки система сообщила, что не может загрузить "сервис или драйвер".

    В журнале событий я нашёл, какие драйвера не смогли загрузиться:
    Event Type: Error
    Event Source: Service Control Manager
    Event Category: None
    Event ID: 7026
    Date: 23.08.2009
    Time: 21:49:18
    User: N/A
    Computer: NEHEMIAH
    Description:
    The following boot-start or system-start driver(s) failed to load:
    crcdisk
    fasttx2k
    uagp35
    ViaIde
    ViBus
    videX32
    ViPrt

    Последние четыре из них - это драйвера VIA, хотя сейчас у меня нет ничего этой фирмы, но раньше была материнская плата на чипе VIA PT880Ultra, думал, что от неё остались.

    Добавлено через 33 минуты

    Выполнение sfc /scannow не помогло, симптомы на месте..
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 23.08.2009 в 17:51.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Цитата Сообщение от unconnected Посмотреть сообщение
    Alex_Goodwin, Вы правда думаете, что ошибки после поиска в regedit это из-за Bonjour? :-)
    Нет, не думаю.
    Проверьте диск на битые секторы
    выполняли?
    Я так понял Вы не так давно материнскую плату поменяли? А глюки не после этого начались?

  13. #12
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32
    Да, диск проверял chkdsk - битых секторов на нём нет. Были логические ошибки и они исправлены.

    Материнскую плату последний раз менял больше года назад. Странности в поведении заметил пару дней назад, но, в принципе, это не значит, что их не было до того. Хотя редактором реестра я должен был пользоваться и раньше. Например, когда чистил ОС от malware примерно полгода назад - тогда ничего такого не наблюдалось.

    В остальном система работает стабильно. Бывает, не выключаю по несколько дней подряд. Разве что бывают изредка синие экраны связанные с драйвером для мыши Razer DeathAdder (начались после того как я мышь поменял) - я проверял стандартными отладочными средствами microsoft для этого, они указали на этот драйвер. Дело в том, что эти драйвера не поддерживают официально Windows 2003.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1165
    В логах Vba32 AntiRootkit ничего страшного не видно.

    Учитывая то, что проблемы с regedit, а McAfee делает кучу перехватов на реестр, может на некоторое время от него отказаться и посмотреть на результат?

  15. #14
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32
    Понятно, спасибо..

    А с антивирусом.. Дело в том, что раньше стоял McAfee VirusScan Enterprise 7.1, он не делал перехваты на реестр, но всё это было замечено ещё с ним.

    Потом я удалил его и проверял вообще без антивируса - симптомы остались.

    И только вчера поставил версию 8.7 в которой эти перехваты есть. Ничего не изменилось.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Возможно какой-то из установленного софта не дружит с серверной виндой. Может вспомните, после установки какой программы начались проблемы?

  17. #16
    Junior Member Репутация
    Регистрация
    22.08.2009
    Сообщений
    8
    Вес репутации
    32
    Дело в том, что программы я устанавливаю часто и помногу. В том числе и драйвера всякие. Конечно, понимаю что ошибки в коде который работает в режиме ядра могут всякое вызвать. Но тут слишком уж странно. Появляется ощущение что какая-то программа специально вызывает сбой при обращении по какому-то пути в реестре. Да и svchost - я наблюдал за этим процессом procmon-ом - он читает с диска и пишет на диск даже когда в procmon отсутствует какая-либо активность у этого процесса.

    А то что avz выдаёт информацию о скрытых процессах - это не подозрительно? Правда никакой другой anti-rootkit не нашёл ничего подобного..

    Сейчас у меня три версии того что происходит:
    1. Повреждён файл с реестром на диске и при считывании какой-то его части, которая не используется в работе в соответствующем системном вызове происходит переполнение буфера или что-то вроде того и получается казус в ядре. При этом скрытая активность svchost.exe это что-то своё, microsoft-овское, не связанное с реестром, скрытое.

    2. После удаления вирусов на остались зараженными некоторые системные файлы, что не обнаруживается системой и антивирусами, поскольку никакой явно вредоносной активности не наблюдается.

    3. Хороший rootkit.

    Вторую версию я давно уже собираюсь проверить - скопировать все системные файлы с компьютера с такой же ОС где такая активность не наблюдается и побайтово сравнить их с моими в WinMerge.

    А вот как проверить версии 1 и 3 я пока не придумал...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 36
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) unconnected, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 18.05.2012, 23:14
    2. Ответов: 2
      Последнее сообщение: 13.11.2010, 10:28
    3. Перестают запускаться программы
      От golur в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.05.2010, 15:00
    4. Ответов: 3
      Последнее сообщение: 15.12.2009, 16:53
    5. Перестали запускаться некоторые программы
      От Иркутск2009 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.12.2009, 12:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00398 seconds with 17 queries