-
Junior Member
- Вес репутации
- 54
Неизвестный руткит (не могу избавиться)
Руткит, постоянно меняет имя драйвера, физически отсутствует на диске (проверял в Recovery Console при загрузке с CD), видимо динамически загружается чем-то при старте системы. В безопасном режиме драйвер так-же загружается. Разнообразные антивирусы ничего подозрительного не видят. Во всех автостартах (смотрел хайджек и автостартс руссиновича) ничего подозрительного не обнаружил (ну кроме автогенеренного ключа, оставшегося от загрузки драйвера, удалять его смысла никакого, потому что в следующий раз все равно новый создастся ). Единственное, что смог сделать утилитой AVZ - получить дамп памяти с загруженного драйвера. Данный дамп на virustotal.com был идентифицирован сканнером McAfee GW Edition как Trojan.Crypt.XPACK.Gen.
Лог hijackthis прилагаю вместе с зипованным дампом драйвера.
Перехват следующих IRP-запросов AVZ снять не может:
\FileSystem\ntfs[IRP_MJ_CREATE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = FC4B71E8 -> перехватчик не определен
Да, забыл написать как получил подарочек: пришла бухгалтер с флешкой, надо было документ распечатать. Всяческие autorun.inf на текущий момент на винте не наблюдаются ни на одном из разделов.
[Прошу прощения, когда логи будут готовы - выложу. Дамп удалил.]
Последний раз редактировалось [email protected]; 03.10.2009 в 20:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нужны логи, а не дампы. Прочитайте и выполните правила.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Вот логи, требуемые согласно правил.
Подозрительные по мнению AVZ (но абсолютно нормальные) программы:
Daemon Tools - эмулятор CD
MouseImp Live! - прокрутка правой кнопкой мыши
Lingoes - переводчик
winrar.bak - древний хлам.
"неизвестный перехватчик" принадлежит тому драйверу, дамп которого я выкладывал раньше.
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Ну Вы сказали, что нужны логи, а не дампы, я решил не напрягать ваш сервер ненужной инфой.
Вот он, этот дамп. Что интересно, все сгенерированные имена файла драйвера пока-что начинались на латинскую "a".
-
Junior Member
- Вес репутации
- 54
Да, в высланных логах вредоносное чудо под этим именем:
C:\WINDOWS\System32\Drivers\a2sgroya.SYS
-
Последний раз редактировалось Aleksandra; 19.06.2011 в 23:05.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
То что важно, то подчеркнуто.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Хм... мысль понял, но как-то раньше такого поведения не наблюдалось. Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..." в командной строке Тотала и сообщением при выключении/перезагрузке компьютера "Программа 'n'" (угу, именно n) не может быть завершена. Где-то с год назад пристрелил вручную руткит с похожим поведением (только файрфокса у меня тогда не было), но в том случае драйвер просто был скрыт перехваченными IRP_MJ_. Из-за схожести поведения в этот раз и заподозрил нехорошее.
Попробую деинсталлировать Daemon Tools и проверить еще раз.
-
Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..."
Избитая тема.
Попробую деинсталлировать Daemon Tools и проверить еще раз.
Это какая-то старая версия Daemon Tools.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Прошу прощения за панику, действительно Daemon Tools. Видимо новая версия. Волшебная. Как закрыть тему?
Добавлено через 1 минуту
А если не секрет, с чем связана эта избитая тема: ....времени строки "testtesttesttesttesttest...".... ? Или это по поводу "совпало по времени"?
Ну если Вы в курсе
Последний раз редактировалось [email protected]; 03.10.2009 в 22:56.
Причина: Добавлено
-
А если не секрет, с чем связана эта избитая тема: ....времени строки "testtesttesttesttesttest...".... ?
Ну если Вы в курсе
Немного в курсе. Она связана с AVZ. Пользуйтесь подсказкой и поищите на форуме самостоятельно. Удачи!
Сердце решает кого любить... Судьба решает с кем быть...
-