Показано с 1 по 12 из 12.

Неизвестный руткит (не могу избавиться) (заявка № 56280)

  1. #1
    Junior Member Репутация
    Регистрация
    03.10.2009
    Сообщений
    6
    Вес репутации
    30

    Неизвестный руткит (не могу избавиться)

    Руткит, постоянно меняет имя драйвера, физически отсутствует на диске (проверял в Recovery Console при загрузке с CD), видимо динамически загружается чем-то при старте системы. В безопасном режиме драйвер так-же загружается. Разнообразные антивирусы ничего подозрительного не видят. Во всех автостартах (смотрел хайджек и автостартс руссиновича) ничего подозрительного не обнаружил (ну кроме автогенеренного ключа, оставшегося от загрузки драйвера, удалять его смысла никакого, потому что в следующий раз все равно новый создастся ). Единственное, что смог сделать утилитой AVZ - получить дамп памяти с загруженного драйвера. Данный дамп на virustotal.com был идентифицирован сканнером McAfee GW Edition как Trojan.Crypt.XPACK.Gen.
    Лог hijackthis прилагаю вместе с зипованным дампом драйвера.

    Перехват следующих IRP-запросов AVZ снять не может:
    \FileSystem\ntfs[IRP_MJ_CREATE] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = FC4B71E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = FC4B71E8 -> перехватчик не определен


    Да, забыл написать как получил подарочек: пришла бухгалтер с флешкой, надо было документ распечатать. Всяческие autorun.inf на текущий момент на винте не наблюдаются ни на одном из разделов.

    [Прошу прощения, когда логи будут готовы - выложу. Дамп удалил.]
    Последний раз редактировалось a.gurov@mail.ru; 03.10.2009 в 20:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Нужны логи, а не дампы. Прочитайте и выполните правила.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    03.10.2009
    Сообщений
    6
    Вес репутации
    30
    Вот логи, требуемые согласно правил.

    Подозрительные по мнению AVZ (но абсолютно нормальные) программы:
    Daemon Tools - эмулятор CD
    MouseImp Live! - прокрутка правой кнопкой мыши
    Lingoes - переводчик
    winrar.bak - древний хлам.

    "неизвестный перехватчик" принадлежит тому драйверу, дамп которого я выкладывал раньше.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Дамп куда дели?
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    03.10.2009
    Сообщений
    6
    Вес репутации
    30
    Ну Вы сказали, что нужны логи, а не дампы, я решил не напрягать ваш сервер ненужной инфой.

    Вот он, этот дамп. Что интересно, все сгенерированные имена файла драйвера пока-что начинались на латинскую "a".
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    03.10.2009
    Сообщений
    6
    Вес репутации
    30
    Да, в высланных логах вредоносное чудо под этим именем:

    C:\WINDOWS\System32\Drivers\a2sgroya.SYS

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Это от Daemon Tools.
    Последний раз редактировалось Aleksandra; 19.06.2011 в 23:05.
    Сердце решает кого любить... Судьба решает с кем быть...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    То что важно, то подчеркнуто.
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    03.10.2009
    Сообщений
    6
    Вес репутации
    30
    Хм... мысль понял, но как-то раньше такого поведения не наблюдалось. Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..." в командной строке Тотала и сообщением при выключении/перезагрузке компьютера "Программа 'n'" (угу, именно n) не может быть завершена. Где-то с год назад пристрелил вручную руткит с похожим поведением (только файрфокса у меня тогда не было), но в том случае драйвер просто был скрыт перехваченными IRP_MJ_. Из-за схожести поведения в этот раз и заподозрил нехорошее.
    Попробую деинсталлировать Daemon Tools и проверить еще раз.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Цитата Сообщение от a.gurov@mail.ru Посмотреть сообщение
    Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..."
    Избитая тема.

    Цитата Сообщение от a.gurov@mail.ru Посмотреть сообщение
    Попробую деинсталлировать Daemon Tools и проверить еще раз.
    Это какая-то старая версия Daemon Tools.
    Сердце решает кого любить... Судьба решает с кем быть...

  12. #11
    Junior Member Репутация
    Регистрация
    03.10.2009
    Сообщений
    6
    Вес репутации
    30
    Прошу прощения за панику, действительно Daemon Tools. Видимо новая версия. Волшебная. Как закрыть тему?

    Добавлено через 1 минуту

    А если не секрет, с чем связана эта избитая тема: ....времени строки "testtesttesttesttesttest...".... ? Или это по поводу "совпало по времени"?
    Ну если Вы в курсе
    Последний раз редактировалось a.gurov@mail.ru; 03.10.2009 в 22:56. Причина: Добавлено

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Цитата Сообщение от a.gurov@mail.ru Посмотреть сообщение
    А если не секрет, с чем связана эта избитая тема: ....времени строки "testtesttesttesttesttest...".... ?
    Ну если Вы в курсе
    Немного в курсе. Она связана с AVZ. Пользуйтесь подсказкой и поищите на форуме самостоятельно. Удачи!
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) a.gurov@mail.ru, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Злой руткит, никак не могу избавиться ...
      От Petro8i4 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 06.09.2011, 21:52
    2. неизвестный вирус/руткит
      От zod1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.12.2010, 00:18
    3. Неизвестный руткит Win32.Rootkit.Agent.NSY
      От Obsidian в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.04.2010, 13:53
    4. Не могу удалить Руткит..
      От Viktor341 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.05.2008, 00:43
    5. Неизвестный руткит???
      От Voland в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 02.04.2007, 21:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01619 seconds with 17 queries