Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

rootkit, перехватчик kernel32... (заявка № 6073)

  1. #1
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43

    rootkit, перехватчик kernel32...

    Поймал с флешки. Вставил, сработал авторан, и этого оказалось достаточно.
    Позже, при просмотре на флешке обнаружились три файлика: autorun.inf smz.exe и библиотечка вроде MSVCR, также присутствовала скрытая папка System Volume Information.
    После этого комп начал медленно грузиться и обрубилось сетевое соединение.
    Начал искать гада, но кроме AVZ ни кто не увидел (респект автору). Искал в процессах штатными средствами, затем FAR, HijackThis и Sysinternal-овскими прогами. Filemon показывал на открытие файла в systemroot\temp\:.sys, потом перестал. Попытка взять процесс в карантин в утилите "процессы ядра" в AVZ не удалась.
    Самое время спросить умного совета
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    удалить полностью нод32 или каспеского , на ваш вкус ;D. Я бы 6 -стёрку поствил, но это вам решать .иначе мы долго ещё будем искать , пока система не завалиться ;D и сделать новые логи

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от lerson
    Позже, при просмотре на флешке обнаружились три файлика: autorun.inf smz.exe и библиотечка вроде MSVCR,
    вот эти файлы было бы желательно прислать (по правилам форума) на исследование

    Цитата Сообщение от lerson
    Начал искать гада, но кроме AVZ ни кто не увидел (респект автору).
    что именно он увидел?

    для начала можете прислать Teefer.sys.
    игру "1000" сами ставили?
    а вообще желательно отключить антивирус, фаервол, игры и все прочее, кроме браузера, в этом режиме провести исследование системы программой AVZ и лог прикрепить сюда.

  5. #4
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    А нод уже удален
    Я его сгоряча сразу после заражения грохнул и установил каспера. Если вы о NOD32 Kernel Service в сервисах - так это кажись уже не совсем нод. По крайней мере удалить его не получается: родной инсталлятор уже отработал, а руками удалять не получается - после перезагрузки он снова появляется (или я чего пропускаю?).
    Кроме текущего каспера 5.0.676 установить возможности в ближайшее время наверно не будет. Но базы - самые свежие.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от lerson
    Если вы о NOD32 Kernel Service в сервисах - так это кажись уже не совсем нод. По крайней мере удалить его не получается: родной инсталлятор уже отработал, а руками удалять не получается - после перезагрузки он снова появляется (или я чего пропускаю?).
    В AVZ диспетчер служб и драйверов - оттуда удаляйте из памяти, потом стирайте с диска. Этот огрызок может вам всю работу портить.

  7. #6
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от MOCT
    вот эти файлы было бы желательно прислать (по правилам форума) на исследование
    я и сам бы хотел на них взгянуть еще разочек :)
    флешка не моя была, хозяин ее уже почистил (тем же самым каспером) а на вопрос как хоть назывался говорит эээээ не помню чето там вирус троян какой-то

    что именно он увидел?
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
    Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
    Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
    Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=08C500)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 80563500
    KiST = 88AFB008 (297)
    >>> Внимание, таблица KiST перемещена ! (804E4F40(284)->88AFB008(297))
    Функция ZwAllocateVirtualMemory (11) перехвачена (80572068->F76A9B30), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
    Функция ZwClose (19) перехвачена (80570D29->B8038870), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateKey (29) перехвачена (80579528->F75BBFE0), перехватчик a347bus.sys
    Функция ZwCreatePagingFile (2D) перехвачена (805B8D99->F75AFB00), перехватчик a347bus.sys
    Функция ZwCreateProcess (2F) перехвачена (805B4A28->B8038530), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateProcessEx (30) перехвачена (8058B5EC->B80386D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateSection (32) перехвачена (8056EE25->B80389B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateThread (35) перехвачена (80586CE6->B80391F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwEnumerateKey (47) перехвачена (8057A69E->F75B05DC), перехватчик a347bus.sys
    Функция ZwEnumerateValueKey (49) перехвачена (80590C93->F75BC120), перехватчик a347bus.sys
    Функция ZwMapViewOfSection (6C) перехвачена (80580916->F76A9470), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
    Функция ZwOpenFile (74) перехвачена (8057F719->F771823E), перехватчик kl1.sys
    Функция ZwOpenKey (77) перехвачена (80573F1D->F75BBFA4), перехватчик a347bus.sys
    Функция ZwOpenProcess (7A) перехвачена (80581C68->B8037F90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwProtectVirtualMemory (89) перехвачена (80581F7D->F76A9C50), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
    Функция ZwQueryInformationFile (97) перехвачена (80580C35->B8038EB0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwQueryKey (A0) перехвачена (8057A29E->F75B05FC), перехватчик a347bus.sys
    Функция ZwQuerySystemInformation (AD) перехвачена (805860EF->B8038FF0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwQueryValueKey (B1) перехвачена (80574361->F75BC076), перехватчик a347bus.sys
    Функция ZwResumeThread (CE) перехвачена (8058735D->B80391A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwSetSystemPowerState (F1) перехвачена (8066F64D->F75BB550), перехватчик a347bus.sys
    Функция ZwShutdownSystem (F9) перехвачена (8064E817->F76A9990), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
    Функция ZwSuspendThread (FE) перехвачена (8063795B->B8039150), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwTerminateProcess (101) перехвачена (8058CE75->B8038D80), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwWriteVirtualMemory (115) перехвачена (805880B7->F76A9D60), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
    Проверено функций: 284, перехвачено: 25, восстановлено: 0
    2. Проверка памяти
    Количество найденных процессов: 22
    Количество загруженных модулей: 264
    Проверка памяти завершена
    3. Сканирование дисков
    C:\System Volume Information\_restore{8A62A461-F176-4ECC-BBE2-C65C64A0E043}\RP9\A0006727.exe Invalid file - not a PKZip file
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 319 описаний портов
    На данном ПК открыто 4 TCP портов и 10 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 7119, извлечено из архивов: 482, найдено вредоносных программ 0

    вот собственно
    в логах avz_sysinfo.htm Модули пространства ядра оно выглядит как " _ " первой строкой вот это бы я вам выслал с удовольствием но не пойму как :)

    для начала можете прислать Teefer.sys.
    ок
    по подписи кажись это от Сигейтовского фаера

    игру "1000" сами ставили?
    да. ей в обед сто лет, она без инсталла пашет... старый проверенный софт Ж))))
    а вообще желательно отключить антивирус, фаервол, игры и все прочее, кроме браузера, в этом режиме провести исследование системы программой AVZ и лог прикрепить сюда.
    сделано
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от MOCT
    В AVZ диспетчер служб и драйверов - оттуда удаляйте из памяти, потом стирайте с диска. Этот огрызок может вам всю работу портить.
    AVZ ругается:
    Служба/драйвер NOD32km опознана как системная. Ее удаление автоматически заблокировано.
    Просто остановил в сервисах, вроде больше не грузится. С диска тоже удалил.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от lerson
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
    вот собственно
    такие перехваты могут быть вызваны вполне естественными причинами

    Цитата Сообщение от lerson
    в логах avz_sysinfo.htm Модули пространства ядра оно выглядит как " _ " первой строкой вот это бы я вам выслал с удовольствием но не пойму как
    поищите его в диспетчере драйверов программы AVZ. если найдете - попытайтесь отключить, а уже потом поискать на диске.

    Цитата Сообщение от lerson
    по подписи кажись это от Сигейтовского фаера
    значит пойдет в базу чистых, чтобы в следующий раз на него не отвлекаться

    Цитата Сообщение от lerson
    да. ей в обед сто лет, она без инсталла пашет... старый проверенный софт Ж))))
    тогда не нужно запускать его перед тем, как делать исследование системы.

  10. #9
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    поищите его в диспетчере драйверов программы AVZ. если найдете - попытайтесь отключить, а уже потом поискать на диске.
    не вижу (см.аттач)
    мож ткнете носом?
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от lerson
    не вижу (см.аттач)
    мож ткнете носом?
    если нет - значит ложная тревога. симптомы не пропали?

  12. #11
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от MOCT
    если нет - значит ложная тревога. симптомы не пропали?
    Просто я в списке его не вижу. Симптомы как были так и остались.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от lerson
    Просто я в списке его не вижу. Симптомы как были так и остались.
    Скачайте GMER - http://www.gmer.net Зайдите в разде Rootkit, Оставьте галку только напротив системного диска, нажмите Scan потом Copy, и вставьте лог в следующее сообщение.

  14. #13
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от RiC
    Скачайте GMER - http://www.gmer.net Зайдите в разде Rootkit, Оставьте галку только напротив системного диска, нажмите Scan потом Copy, и вставьте лог в следующее сообщение.
    Сделано.
    Вложения Вложения
    • Тип файла: zip GMER.zip (41.9 Кб, 15 просмотров)

  15. #14
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    Вроде чисто все.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  16. #15
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от Sanja
    Вроде чисто все.
    хорошо, тогда можете мне объяснить, что это такое? (четвертая строка)
    Изображения Изображения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    741
    Первые два от алкоголя 120%, третий от каспера, последний вообще непонятно что (русскими буквами назван, что ли ?)

  18. #17
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от Alexey P.
    Первые два от алкоголя 120%, третий от каспера, последний вообще непонятно что (русскими буквами назван, что ли ?)
    как его найти / отрубить? Я имею в виду это "непонятно что".

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    937
    Цитата Сообщение от lerson
    как его найти / отрубить? Я имею в виду это "непонятно что".
    -а во вкладке Modules по адресу F7472000 путь к файлу есть, хоть какой-то или к какому-то?
    -кроме того, во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file,
    но при этом, имейте ввиду, что этот самый Ваш модуль с именем "________" вполне может оказаться нужным и благонадёжным, а после "Delete file" его вряд ли удастся восстановить... семь раз отмерь, как говорится
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  20. #19
    Junior Member Репутация
    Регистрация
    18.08.2006
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от Alex Plutoff
    -а во вкладке Modules по адресу F7472000 путь к файлу есть, хоть какой-то или к какому-то?
    -кроме того, во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file,
    но при этом, имейте ввиду, что этот самый Ваш модуль с именем "________" вполне может оказаться нужным и благонадёжным, а после "Delete file" его вряд ли удастся восстановить... семь раз отмерь, как говорится
    Есть. Вот.

    ЗЫ Системе осталось жить 8 часов (надоело уже любоваться на это безобразие) после чего снесу все н##.
    Поэтому можно предлагать все возможные способы в т.ч. деструктивные

    во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file
    нету такой возможности. контекстное меню неактивное (серое).
    Изображения Изображения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от lerson
    Есть. Вот.
    Поэтому можно предлагать все возможные способы в т.ч. деструктивные
    Запустите Gmer и перезагрузите комп Reset`ом или Power`ом. - без "нормального" завершения Windows.
    Потом повторите лог Gmer и AVZ.

    PS: smz.exe не осталось случайно вместе с DLL-кой ?

    Ещё интересен лог от beta версии сканера Dr.Web - beta.drweb.com собственно кроме сканера ничего больше не надо, лицензию межете взять там-же, просканируйте на системном диске Windows и "System Volume Information", перед этим обновите антивирус, и в настройках в разделе "Отчет" поставьте - "Проверяемые обьекты".
    Последний раз редактировалось RiC; 20.08.2006 в 08:57.

  • Уважаемый(ая) lerson, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. sp??.sys - Подозрение на RootKit, Перехватчик KernelMode
      От hogward в разделе Вредоносные программы
      Ответов: 42
      Последнее сообщение: 08.04.2013, 16:39
    2. RootKit Перехватчик KernelMode spno.sys
      От Pradromalo в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.10.2010, 13:51
    3. Перехватчик sp** подозрение на RootKit
      От koksinator в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.04.2009, 19:18
    4. Перехватчик не определен(RootKit?)
      От arrrrrt в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 10:10
    5. Подозрения на RootKit (перехватчики Kernel Mode)
      От alex_2007 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.10.2007, 11:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00825 seconds with 17 queries