Атака руткитов

[ikarf]

Система Microsoft Windows XP Media Center Edition версия 2002 Service Pack 3. Антивирусник Windows Live OneCare.
Суть проблемы: компьютер стал медленно выключаться и почти не реагирует на Пуск-> выход из системы(или выключение). Плохо работает клавиатура. Выполнила все строго по инструкции. Проверка Касперским и Др.ВЭБ ничего не дали. Файл syscure.zip AVZ не создал.
После запуска AVZ в нормальном режиме работы системы
антивирусник сообщил, что найдет Rootkitdrv.GZ и он, якобы его обезвредил, но... при проверке системы SysProt были найдены руткиты:
System Root\system32\drivers\dump_atapi.sys (moduel Base FDA0F000 module end EDA0F000)
и
System Root\system32\Drivers\dump_WMILIB.SYS (module Base F7BD000
module end F7B7F000 )
Прошу и жду помощи.

[gjf]

1. Где virusinfo_syscure.zip?

2. Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD9341.SYS','');
BC_ImportAll;
ExecuteSysClean;
 SetAVZPMStatus(true);
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[ikarf]

Все сделано по Вашим указаниям, но файл virusinfo_syscure.zip не сформировался. Почему?... Не знаю. Были предприняты следующие шаги:
1. Был перезакачан AVZ и обновлена база данных.
2. После работы AVZ ,был произведен поиск по всему компьютеру (на всякий случай) - файл не обнаружен.
В папке avz4 находятся следующие подпапки и файлы: Base (думаю, не стоит перечислять все файлы находящиеся в папке); LOG (virusinfo_syscheck.html virusinfo_syscheck.xml virusinfo_syscheck.zip(я его посылаю); ярлык avz; avz.cnt; avz.exe; avz.hlp; version.txt
У меня к Вам просьба. При выполнении скрипта был отключен райтер, который не включался уже более месяца (на нем я слушаю записаные мной лично музыкальный файлы). Проблемы начались дней 5-6 назад, а райтер(еще раз повторюсь) не включался более месяца (некогда было музыку слушать).
В результате на моем компьютере найдено неопознанное оборудование.
Я понимаю, что это не суть столь важно, но у меня к Вам просьба - восстановите, пожалуйста, реестр, чтобы мой райтер был снова опознан системой, хотя бы в конце нашего сотрудничества.
P/S На всякий случай, протокол, пестрящий "красным" , работы AVZ был переписан в текстовый блокнот (Выдержка из протокола:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000.)
Если он Вам пригодится, могу прислать.
Компьютер перезагружается не менее 7 минут.

[gjf]

Где карантин?

Добавлено через 2 минуты

Его Вы также не обнаружили?

[ikarf]

Пожалуйста, прочтите мое сообщение. Я описала ситуацию и результаты работы AVZ как можно подробнее.
Может попробовать еще раз выполнить все с начала?

Спасибо.

[vegas]

Найдите с помощью АВЗ (Сервис - Поиск файлов на диске) вот этот файл C:\WINDOWS\System32\Drivers\SPTD9341.SYS, добавьте его в карантин и закачайте по красной ссылке вверху страницы

[ikarf]

Нашла с помощью поиска. Но АВЗ его почему-то не хочет копировать. Наверное я что-то не так делаю!?
Сервис - Поиск файла. Появляется новое окно. Ввожу имя файла. Нажимаю Пуск. Программа АВЗ ничего не делает. Насколько я понимаю в окне файл должен появиться искомый файл и я должна нажать "Копировать отмеченный файл в карантин". Но никакого "движения" на копмьютере в течение 2-3 минут не происходит.

[vegas]

Вот такой лог сделайте http://virusinfo.info/showthread.php?t=40118

[ikarf]

Пересылаю затребованный файл.
Имя log-файла не вводилось в предназначенное окно с клавиатуры, а только из буфера обмена. Почему?

Спасибо.

[snifer67]

Лог gmer чист.

[gjf]

Ничего вредоносного в логах не обнаружено.

[ikarf]

Подскажите, пожалуйста, что делать дальше?
Возможно Вам поможет информация из листинга антивирусника:
08.10.2009 23:06
Windows Live OneCare найдены вредные или потенциально нежелательного программного обеспечения на компьютер
Угроза Имя:VirTool: WinNT / Rootkitdrv.GZ
Обнаружение Дата и время:08.10.2009 23:06
Имя файла:C: \ WINDOWS \ System32 \ Drivers \ utm4mje1.sys
Серьезность угрозы:Severe
Угроза Категория:Tool
Вирусов и шпионских программ мониторинга найдены потенциально нежелательного программного обеспечения:(ANTIVIRUS_ONACCESS)Угроза Статус:Удален

08.10.2009 23:06
Windows Live OneCare найдены вредные или потенциально нежелательного программного обеспечения на компьютер
Угроза Имя:VirTool: WinNT / Rootkitdrv.GZ
Обнаружение Дата и время:08.10.2009 23:06
Имя файла:HKLM \ SYSTEM \ CurrentControlSet \ Services \ utm4mje1
Серьезность угрозы:Severe
Угроза Категория:ToolВирусов и шпионских программ мониторинга найдены потенциально нежелательного программного обеспечения:(ANTIVIRUS_ONACCESS)
УгрозаСтатус: Удален


Но..., несмотря на это сообщение, во время работы АВЗ, антивирусник каждый раз сообщает, что найден Rootkitdrv.GZ и каждый раз его удаляет.
Может остались следы руткита? Если "да", то как их удалить?

Спасибо.

[Bratez]

во время работы АВЗ, антивирусник каждый раз сообщает, что найден Rootkitdrv.GZ и каждый раз его удаляет.

А в правилах написано, что при работе AVZ свой антивирусник надо выключать, дабы он не мешал процессу и не удалял драйверы AVZ, полагая, что это руткиты...

[ikarf]

А в правилах написано, что при работе AVZ свой антивирусник надо выключать, дабы он не мешал процессу и не удалял драйверы AVZ, полагая, что это руткиты...

Но это происходит только в том случае, когда я проверяла компьютер АВЗ по подозрению на непонятные неполадки. Когда я работаю с АВЗ, антивирусник, естественно, мной отключается.

Сообщение SysProt
Modul name \System Root\System32\Drivers\dump_atapi.sys
Module Base ED9BC000 Module End ED4D4000
Hiden Yes

Modul name \System Root\System32\Drivers\dump_WMILIB.SYS
Module Base F7B73000 Module End F7B75000
Hiden Yes

Добавилась еще одна запись, которой раньше не было:

Modul name \??\DOCUME~1\IRINA\LOCALS~1\Temp\fwkirfod.sys
Service name fwkirfod
Module Base BAA31000 Module End BAA47000
Hiden Yes

Могу прислать log SysProt.

Почему изменились адреса расположения ? Ведь на восстановлении системы стоит запрет.

Спасибо.

[gjf]

Уважаемый пользователь!
Я Вам сказал, что в логах ничего вредоносного не видно. Все драйвера и все записи, которые вы увидели - это нормально. Новые драйвера возникли в результате сканирования и не являются вредоносными.
Чтобы удалить всё новое, удалите установленную программу GMER. Удалите AVZ, для этого выполните скрипт:

Код:

begin
 ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
 RebootWindows(false);
end.

Система перезагрузиться, после этого удалите папку AVZ.

Ничего больше присылать не нужно, тему можно закрыть, поскольку ничего у Вас вредоносного нет.

Добавлено через 9 минут

В ответ на Ваш вопрос, направленный мне в ПМ: зайдите с помощью Internet Explorer на страницу http://windowsupdate.microsoft.com/
На все запросы - соглашайтесь. В итоге, обновление должно работать.
Все выполненные скрипты в этой ветке ничего не изменяли в Вашей системе, потому указанная ошибка не вызвана работой скриптов.

[ikarf]

Спасибо!

За быстрый ответ. Но... Попробовала зайти по указанному адресу (моя домашняя страница для Update) все продолжается по-старому. До этих перепетий ничего подобного никогда не было.
Что мне делать? Если Вас это не затруднит, помогите.
Спасибо.

[gjf]

Укажите в ветке дословно какую ошибку и на каком этапе показывает.

[ikarf]

Обратилась на сайт Microsoft http://support.microsoft.com/kb/245142/ru

При попытке восстановить Центр обновлений получила сообщение :


Ошибка при вызове LoadLibrary (c:\windows\system\wuv3is.dll) - не найден указанный модуль.

Просмотрела содержимое папки Windows Update - она пуста.


При попытке переустановить Центра обновления http://support.microsoft.com/kb/943144

получила сообщение - все прошло успешно, однако, ситуация та же.


Райтер до сих пор не определен системой. Это произошло сразу после выполнения первого скрипта. Это я могу сказать точно. Так же могу сказать, что за день до обращения на форум, обращалась в Центр обновления (хотя компьютер был уже,скорее всего, заражен) - проверка на выборочные обновления прошла нормально.

[gjf]

ikarf, может хватит заниматься самодеятельностью? Хотите угробить систему? Почитайте внимательно, к каким системам применима та статья, которую Вы привели:

Информация в данной статье относится к следующим продуктам.

* Microsoft Windows Update на следующих платформах
o Microsoft Windows NT 4.0
o Microsoft Windows 95

А у Вас какая?
Давайте так: или Вы выполняете то, что Вас просят, или занимайтесь восстановлением системы самостоятельно.

Я Вам сказал:

зайдите с помощью Internet Explorer на страницу http://windowsupdate.microsoft.com/
На все запросы - соглашайтесь. В итоге, обновление должно работать.

Укажите в ветке дословно какую ошибку и на каком этапе показывает.

Где всё это? При чём здесь восстановление Центра обновления?

[ikarf]

По этому адресу я попадаю на свою домашнюю страницу обновлений.
Появляются две кнопки: быстрое обновление и выборочное. Нажимаю на любую из них, появляется сообщения:

Файлы, необходимые для работы функции Windows Update, не зарегистрированы или не установлены на данном компьютере. Для продолжения:

Зарегистрировать или переустановить файлы (рекомендуется)
Выяснить возможные шаги, необходимые для решения проблемы

Нажимаю на продолжить (рекомендуется). Появляется:


403 - Forbidden: Access is denied.

You do not have permission to view this directory or page using the credentials that you supplied

Весь протокол.


Спасибо.