Здравствуйте. Пол года назад таинственным образом удалил со своего компа руткита. 2 дня назад обнаружил его опять.
AVZ в процессе анализа вывел на экран следующее:
Вот список новых файлов в системной директории, к-х я не знаю:Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtClose (19) перехвачена (805678DD->F74F402, перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057065D->F74F3FE0), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtCreatePagingFile (2D) перехвачена (805BBDC7->F74E7B00), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80570D64->F74E85DC), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80590677->F74F4120), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8056CD5B->F74E7B40), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80568D59->F74F3FA4), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80570A6D->F74E85FC), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056A1F2->F74F4076), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (8066768B->F74F3550), перехватчик C:\WINDOWS.0\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
В реестре появился след. раздел (reg-файл):c:\windows.0\system32\borlndmm.dll = Файл создан
c:\windows.0\system32\cmd.exe = Файл создан (это я его восстановил)
c:\windows.0\system32\eax.dll = Файл создан
c:\windows.0\system32\iacenc.dll = Файл создан
c:\windows.0\system32\ir32_32.dll = Файл изменен, изменилось содержимое
c:\windows.0\system32\pixomatic.dll = Файл создан
c:\windows.0\system32\vp6vfw.dll = Файл создан
Еще когда у меня не было cmd.exe, а когда он был под другим именем, эта гадость у меня не появлялась. В C:\Windows\system32 появился файл NUXJHDOVMPVJEZ в 3 мегабайта, в к-м записано содержимое каталогов на жестком диске в формате UTF-8. Причем содержимое файла совпадает с выводом командного интерпретатора. Так что я не зря раньше переименовал cmd.exe.Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a 347scsi\Config\jdgg40]
"ujdew"=hex:20,02,00,00,23,0d,88,43,cb,47,a3,78,2f ,6b,cd,44,43,d8,52,96,ae,ee,\
6d,63,22,b3,b8,bd,76,6e,b6,61,ab,80,fb,ad,09,f6,64 ,b0,3f,74,1e,6b,66,4d,37,\
33,91,44,8e,4a,60,09,82,eb,03,d7,98,1d,fa,5b,dd,e7 ,c5,6f,9f,36,44,fa,c5,34,\
57,bd,6c,4d,be,a5,25,6b,49,b3,ee,54,f8,64,42,3f,3b ,89,24,14,b2,0f,06,39,3d,\
6b,34,b8,5c,95,ca,9f,cf,78,05,c0,f6,5d,74,59,21,a4 ,e0,92,70,af,ac,08,d3,76,\
f6,8b,4a,03,0c,79,15,12,62,b7,54,8f,d2,c7,67,1f,ca ,d4,0e,54,a9,2d,99,58,61,\
f7,c8,c8,56,3b,cb,e6,0d,b0,02,35,98,8b,4d,c4,b8,4e ,ac,cf,d3,27,9f,f0,80,af,\
46,62,b4,f6,71,48,44,6d,40,a1,b7,15,e3,39,89,2e,da ,6e,e3,83,a5,c8,05,54,a4,\
37,eb,97,37,6d,43,94,9e,7e,10,47,29,ca,c2,11,d8,10 ,a8,a9,9b,e7,2e,c7,92,96,\
0d,c9,9d,98,af,9a,bc,a6,db,0d,af,dc,e9,25,d6,6a,bc ,41,81,47,29,7f,50,ff,0c,\
e5,b3,30,9f,29,aa,8d,c5,e2,f5,8b,5d,c6,b4,fc,8b,1d ,c7,a7,c7,54,6e,25,47,9e,\
79,08,30,ef,28,3c,e8,91,ab,94,30,bc,62,34,c4,7d,2d ,01,7e,ad,8c,11,80,81,7f,\
2d,cd,04,a6,76,95,fd,d1,83,84,05,a0,a8,63,df,43,5c ,6d,9a,3a,61,46,40,05,5a,\
94,a3,84,dd,70,fb,97,cd,69,84,fe,47,5c,9e,89,11,37 ,4a,38,3c,e7,a9,7b,ee,35,\
f3,f2,0d,7c,0e,7d,fe,e9,73,9c,20,b6,7c,0f,e1,e0,2a ,36,77,80,d1,61,13,54,f4,\
b0,be,b2,0b,13,a3,a7,c7,8a,f8,34,37,55,3d,0d,34,94 ,d2,af,46,a7,df,bd,b6,4e,\
e6,cf,8e,d9,ef,6c,24,08,10,9e,95,0b,eb,5d,69,42,1b ,2b,80,8d,7e,12,46,ec,cb,\
7a,cb,df,09,48,14,86,6b,1a,81,b1,f6,f4,0e,80,20,2e ,9f,23,26,1c,11,1a,54,b2,\
9a,e5,1b,6a,7b,e4,eb,61,66,77,de,54,b4,de,f8,3e,cb ,69,89,d0,ae,18,c8,62,57,\
db,a4,2d,f5,d2,74,12,b8,dd,83,2c,cf,fc,12,4a,14,ef ,a5,49,c2,16,6c,18,9c,c1,\
1e,fe,07,90,ee,37,1d,f3,cd,f7,7f,ea,5b,18,de,35,16 ,9c,58,f4,20,37,64,07,c0,\
27,63,ae,96,89,73,b9,fe,ad,59,68,64,d1,af,eb,f9,67 ,46,a2,f9,a1,d3
"ljej40"=hex:2b,1a,63,86,90,37,db,30,ee,84,45,e2,3 f,89,27,48,bd,bd,e1,95,dd,b3,\
ed,50,3b,f3,ae,8c,9a,ab,72,c4,e9,29,08,1f,b0,10,21 ,47,17,19,98,3e,16,40,94,\
9f,d5,8a,8e,69,2c,06,cb,93,13,32,89,42,92,a7,d3,40 ,81,e0,7a,39,68,f8,33,1f,\
9f,ee,f8,20,2e,39,54,4b,ed,d4,32,60,64,52,10,4d,eb ,36,22,cc,74,d8,dc,eb,19,\
25,13,b4,20,00,62,2d,f7,f9,f6,e6,a6,f2,ba,7c,05,2b ,e0,ff,9c,5e,1a,0d,93,4f,\
74,c3,23,c6,c4,b3,b1,42,dc,a0,d8,09,bf,59,4f,05,77 ,83,1e,95,40,4f,1d,bb,1b,\
c4,d4,68,8e,ff,9b,99,ae,3a,7a,92,c5,53,49,ad,96,db ,90,3f,a2,82,a7,15,52,19,\
68,ec,a1,61,35,64,9f,5a,0c,33,f5,f7,73,95,13,20,72 ,6a,fd,e3,e1,30,55,e0,48,\
23,06,33,af,97,d4,65,ac,59,be,dd,4d,ba,38,b3,44,cb ,1b,bd,4b,c5,b9,ee,6a,fb,\
cd,79,79,81,ff,51,00,37,aa,35,57,1a,3f,0b,86,a2,1a ,91,65,6d,89,5d,7c,d0,d3,\
96,23,d6,4b,b2,4b,69,99,69,11,fa,d1,20,b8,78,51,ea ,af,55,26,9b,fe,61,fe,e5,\
7d,c9,26,c8,b4,69,d2,09,ab,5c,68,d9,5b,58,7c,f5,99 ,79,db,70,71,2b,83,89,07,\
de,92,71,76,f5,75,ab,bc,c9,7f,ee,ec,3c,50,34,d3,07 ,82,d7,52,80,66,8f,41,90,\
7f,f0,28,1a,4a,ea,5f,4c,21,3e,ee,61,f1,dd,ad,b3,23 ,87,24,50,6a,7a,ab,a3,ff,\
07,63,b5,a4,08,b1,bd,f6,5e,e2,2a,96,a5,f1,74,1e,df ,2f,b0,eb,23,91,b6,f8,f6,\
1a,8b,60,0a,4e,00
В журнале событий появились:
2) Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: a347bus
Это я переменовал файл a347bus.sys
1) Служба "UJUTJAFN" перешла в состояние Работает.
3) Служба "IYTGMHKGQGT" перешла в состояние Работает.
В реестре нашел:
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\IYTGMHKGQGT. exe - Rootkit detection utility
Это не страшно - я 2 раза запускал Rootkit Revealer.
Еще подозрительно:
4) Сбой при запуске службы "EYBE" из-за ошибки ... Системе не удается найти указанный путь.
В реестре нашел:
HKLM\SYSTEM\ControlSet001\EnumRoot\LEGACY_EYBE
HKLM\SYSTEM\ControlSet001\Services\EYBE - с пустым разделом Security.
5) Служба восстановления системы возобновила работу, поскольку на системном диске освобождено необходимое место.
Вобщем, у меня есть ощущение, что a347bus.sys не виноват - возможно кто-то другой внедрился в его память и там уже совершал все действия. Установка Alcohol на вирт. машину показала, что эти и оригинальные файлы полностью одинаковые. Может быть, как-то отследить обращение к файлам a347bus.sys и a347scsi.sys и посмотреть - кто к ним обращается.
Сейчас я в реестре запретил SYSTEM и Администраторам задавать значения для ключей, нах. в разделе jdgg40 и включил аудит отказов и успехов этого действия. Также заменил cmd.exe, a347bus.sys, a347scsi.sys на пустые файлы и включил для них аудит отказов и успехов запуска для SYSTEM и Администраторов. Правда после перезагрузки система не грузилась, пришлось фальшивые файлы a347bus.sys, a347scsi.sys удалить из Консоли Восстановления. И аудит отказов в задании ключей в jdgg40 почему-то не работает - в журнале "Безопасность" никаких записей не появляется.
В логе исследования системы AVZ подозрительно следующее:
Причем последнее - даже в процессе win-command.exe (переименованный интерпретатор команд)cmd.exe /c chcp 65001 && set DIRCMD= && "cmd /c dir /4 /a /s D:\ > C:\WINDOWS.0\system32\NUXJHDOVMPVJEZ"
"cmd /c dir /4 /a /s D:\ > C:\WINDOWS.0\system32\NUXJHDOVMPVJEZ"
Второй день ищу и не знаю - за что зацепиться. Возможно он уже был на компьютере и заработал когда я обратно переименовал win-command.exe в cmd.exe.
Нашел похожую тему, к сожалению, там только путь:
http://virusinfo.info/showthread.php?t=40907&highlight=jdgg40&page=2
вот что там есть:
Но судя по фразе "Привет! Я пришел к вам с миром" - это не то, у меня такая фраза не появлялась. На что это похоже и где мне еще искать?Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D 79C293C1ED61418462E24595C90D04\00000001\jdgg40
Забыл - в приложении - результаты исследования системы AVZ.