Поймал с флешки. Вставил, сработал авторан, и этого оказалось достаточно.
Позже, при просмотре на флешке обнаружились три файлика: autorun.inf smz.exe и библиотечка вроде MSVCR, также присутствовала скрытая папка System Volume Information.
После этого комп начал медленно грузиться и обрубилось сетевое соединение.
Начал искать гада, но кроме AVZ ни кто не увидел (респект автору). Искал в процессах штатными средствами, затем FAR, HijackThis и Sysinternal-овскими прогами. Filemon показывал на открытие файла в systemroot\temp\:.sys, потом перестал. Попытка взять процесс в карантин в утилите "процессы ядра" в AVZ не удалась.
Самое время спросить умного совета
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
удалить полностью нод32 или каспеского , на ваш вкус ;D. Я бы 6 -стёрку поствил, но это вам решать .иначе мы долго ещё будем искать , пока система не завалиться ;D и сделать новые логи
Позже, при просмотре на флешке обнаружились три файлика: autorun.inf smz.exe и библиотечка вроде MSVCR,
вот эти файлы было бы желательно прислать (по правилам форума) на исследование
Сообщение от lerson
Начал искать гада, но кроме AVZ ни кто не увидел (респект автору).
что именно он увидел?
для начала можете прислать Teefer.sys.
игру "1000" сами ставили?
а вообще желательно отключить антивирус, фаервол, игры и все прочее, кроме браузера, в этом режиме провести исследование системы программой AVZ и лог прикрепить сюда.
А нод уже удален
Я его сгоряча сразу после заражения грохнул и установил каспера. Если вы о NOD32 Kernel Service в сервисах - так это кажись уже не совсем нод. По крайней мере удалить его не получается: родной инсталлятор уже отработал, а руками удалять не получается - после перезагрузки он снова появляется (или я чего пропускаю?).
Кроме текущего каспера 5.0.676 установить возможности в ближайшее время наверно не будет. Но базы - самые свежие.
Если вы о NOD32 Kernel Service в сервисах - так это кажись уже не совсем нод. По крайней мере удалить его не получается: родной инсталлятор уже отработал, а руками удалять не получается - после перезагрузки он снова появляется (или я чего пропускаю?).
В AVZ диспетчер служб и драйверов - оттуда удаляйте из памяти, потом стирайте с диска. Этот огрызок может вам всю работу портить.
вот эти файлы было бы желательно прислать (по правилам форума) на исследование
я и сам бы хотел на них взгянуть еще разочек :)
флешка не моя была, хозяин ее уже почистил (тем же самым каспером) а на вопрос как хоть назывался говорит эээээ не помню чето там вирус троян какой-то
что именно он увидел?
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77 Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1 Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 88AFB008 (297)
>>> Внимание, таблица KiST перемещена ! (804E4F40(284)->88AFB008(297))
Функция ZwAllocateVirtualMemory (11) перехвачена (80572068->F76A9B30), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwClose (19) перехвачена (80570D29->B8038870), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateKey (29) перехвачена (80579528->F75BBFE0), перехватчик a347bus.sys
Функция ZwCreatePagingFile (2D) перехвачена (805B8D99->F75AFB00), перехватчик a347bus.sys
Функция ZwCreateProcess (2F) перехвачена (805B4A28->B8038530), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC->B80386D0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056EE25->B80389B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80586CE6->B80391F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwEnumerateKey (47) перехвачена (8057A69E->F75B05DC), перехватчик a347bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (80590C93->F75BC120), перехватчик a347bus.sys
Функция ZwMapViewOfSection (6C) перехвачена (80580916->F76A9470), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwOpenFile (74) перехвачена (8057F719->F771823E), перехватчик kl1.sys
Функция ZwOpenKey (77) перехвачена (80573F1D->F75BBFA4), перехватчик a347bus.sys
Функция ZwOpenProcess (7A) перехвачена (80581C68->B8037F90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwProtectVirtualMemory (89) перехвачена (80581F7D->F76A9C50), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwQueryInformationFile (97) перехвачена (80580C35->B8038EB0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryKey (A0) перехвачена (8057A29E->F75B05FC), перехватчик a347bus.sys
Функция ZwQuerySystemInformation (AD) перехвачена (805860EF->B8038FF0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryValueKey (B1) перехвачена (80574361->F75BC076), перехватчик a347bus.sys
Функция ZwResumeThread (CE) перехвачена (8058735D->B80391A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetSystemPowerState (F1) перехвачена (8066F64D->F75BB550), перехватчик a347bus.sys
Функция ZwShutdownSystem (F9) перехвачена (8064E817->F76A9990), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция ZwSuspendThread (FE) перехвачена (8063795B->B8039150), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (8058CE75->B8038D80), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7->F76A9D60), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Проверено функций: 284, перехвачено: 25, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 22
Количество загруженных модулей: 264
Проверка памяти завершена
3. Сканирование дисков
C:\System Volume Information\_restore{8A62A461-F176-4ECC-BBE2-C65C64A0E043}\RP9\A0006727.exe Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 4 TCP портов и 10 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 7119, извлечено из архивов: 482, найдено вредоносных программ 0
вот собственно
в логах avz_sysinfo.htm Модули пространства ядра оно выглядит как " _ " первой строкой вот это бы я вам выслал с удовольствием но не пойму как :)
для начала можете прислать Teefer.sys.
ок
по подписи кажись это от Сигейтовского фаера
игру "1000" сами ставили?
да. ей в обед сто лет, она без инсталла пашет... старый проверенный софт Ж))))
а вообще желательно отключить антивирус, фаервол, игры и все прочее, кроме браузера, в этом режиме провести исследование системы программой AVZ и лог прикрепить сюда.
В AVZ диспетчер служб и драйверов - оттуда удаляйте из памяти, потом стирайте с диска. Этот огрызок может вам всю работу портить.
AVZ ругается:
Служба/драйвер NOD32km опознана как системная. Ее удаление автоматически заблокировано.
Просто остановил в сервисах, вроде больше не грузится. С диска тоже удалил.
Просто я в списке его не вижу. Симптомы как были так и остались.
Скачайте GMER - http://www.gmer.net Зайдите в разде Rootkit, Оставьте галку только напротив системного диска, нажмите Scan потом Copy, и вставьте лог в следующее сообщение.
Скачайте GMER - http://www.gmer.net Зайдите в разде Rootkit, Оставьте галку только напротив системного диска, нажмите Scan потом Copy, и вставьте лог в следующее сообщение.
как его найти / отрубить? Я имею в виду это "непонятно что".
-а во вкладке Modules по адресу F7472000 путь к файлу есть, хоть какой-то или к какому-то?
-кроме того, во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file,
но при этом, имейте ввиду, что этот самый Ваш модуль с именем "________" вполне может оказаться нужным и благонадёжным, а после "Delete file" его вряд ли удастся восстановить... семь раз отмерь, как говорится
-а во вкладке Modules по адресу F7472000 путь к файлу есть, хоть какой-то или к какому-то?
-кроме того, во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file,
но при этом, имейте ввиду, что этот самый Ваш модуль с именем "________" вполне может оказаться нужным и благонадёжным, а после "Delete file" его вряд ли удастся восстановить... семь раз отмерь, как говорится
Есть. Вот.
ЗЫ Системе осталось жить 8 часов (надоело уже любоваться на это безобразие) после чего снесу все н##.
Поэтому можно предлагать все возможные способы в т.ч. деструктивные
во вкладке Rootkit имеется возможность, после выделения объекта, выбрать действие по правому клику мыша - Delete the service и за тем Delete file
нету такой возможности. контекстное меню неактивное (серое).
Есть. Вот.
Поэтому можно предлагать все возможные способы в т.ч. деструктивные
Запустите Gmer и перезагрузите комп Reset`ом или Power`ом. - без "нормального" завершения Windows.
Потом повторите лог Gmer и AVZ.
PS: smz.exe не осталось случайно вместе с DLL-кой ?
Ещё интересен лог от beta версии сканера Dr.Web - beta.drweb.com собственно кроме сканера ничего больше не надо, лицензию межете взять там-же, просканируйте на системном диске Windows и "System Volume Information", перед этим обновите антивирус, и в настройках в разделе "Отчет" поставьте - "Проверяемые обьекты".
Последний раз редактировалось RiC; 20.08.2006 в 09:57.
Уважаемый(ая) lerson, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: