Показано с 1 по 11 из 11.

Не удаляется вирус в \drivers (заявка № 72202)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    38

    Arrow Не удаляется вирус в \drivers

    Привет,
    На одном из сайтов заразился вирусом (IE8 с последними обновлениями пропустил ), SpiderGuard сразу указал на вирус в system32, конечно, удалил, но в процессах появился qttask.exe кушающий 100% одного из ядер, и не завершаемый. Заметил, что qttask.exe запускается при запуске IE, после переименования в qttask1.exe (он в папке Quick Time) перестал запускаться. Еще в system32 появилось несколько абракадабр.ехе, некоторые SpiderGuard определил, некоторые нет, но конечно все вирусы - удалил.
    Проверил Microsoft Security Essentials - нашел trojan:WinNT/Bubnix.gen!A в C:\WINDOWS\system32\drivers\feizpuvt.sys, лечение которого вызывало ошибку в MSE "Error code 0x8007001f. Присоединенное к системе устройство не работает." Смешно
    Далее, проверил AVZ, нашел два сомнительных момента -
    во-первых,
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=085700)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055C700
    KiST = 8050446C (284)
    Функция NtCreateKey (29) перехвачена (806237B6->BA6A80E0), перехватчик spya.sys
    Функция NtEnumerateKey (47) перехвачена (80623FF6->BA6C6CA2), перехватчик spya.sys
    Функция NtEnumerateValueKey (49) перехвачена (80624260->BA6C7030), перехватчик spya.sys
    Функция NtOpenKey (77) перехвачена (80624B88->BA6A80C0), перехватчик spya.sys
    Функция NtQueryKey (A0) перехвачена (80624EAE->BA6C710, перехватчик spya.sys
    Функция NtQueryValueKey (B1) перехвачена (806219EE->BA6C6F8, перехватчик spya.sys
    Функция NtSetValueKey (F7) перехвачена (80621D3C->BA6C719A), перехватчик spya.sys

    - чем сомнительно - что после перезагрузки windows AVZ показывает все тоже самое, только перехватчик меняет последние две буквы (видел spse.sys, spta.sys, самого файла найти не смог)
    И во-вторых, то самое
    7. Эвристичеcкая проверка системы
    >>> Подозрение на маскировку ключа реестра службы\драйвера "feizpuvt"

    Удалить feizpuvt.sys не удалось, в т.ч. через "отложенное удаление" avz.
    Такая ситуация на данный момент, что скажете?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     DeleteService('synsend');
     QuarantineFile('C:\WINDOWS\system32\drivers\jcuzjziznc.sys','');
     DeleteService('maryyfgks');
     QuarantineFile('C:\WINDOWS\system32\Drivers\feizpuvt.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\avnjuuas.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\avnjuuas.SYS');
     DeleteFile('C:\WINDOWS\system32\Drivers\feizpuvt.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\jcuzjziznc.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи + такой http://www.gmer.net/

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,689
    Вес репутации
    3028
    + к V_Bond

    1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
    2. Скопируйте C:\WINDOWS\system32\Drivers\feizpuvt.sys в другую папку и переименуйте
    3. Удалите файл в исходном месте
    4. Загрузитесь в нормальном режиме и отключите антивирус
    5. Запакуйте переименованный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    6. Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    38
    Пока проделал только действия V_Bond, скрипт выполняется, завершает работу Windows, пропадает рабочий стол, остается синий экран и курсор мышки, дальше все повисает, только reset.
    Папка карантина появляется пустая (кстати, просто проводником скопировать feizpuvt.sys не дает - "устройство не работает").
    Логи AVZ думаю что не изменились.
    GMER сразу при запуске говорит про rootkit и предлагает проверить все.
    Если проверять все (заняло где-то полтора часа), появляется сообщение "warning у вас тут изменения руткитом" и дальше все виснет намертво.
    Если проверять все кроме Files, то можно сохранить лог, но при выходе из GMER получается blue screen.
    Иш, какие вирусы пошли!

    thyrex с LiveCD буду разбираться, подключить винчестер к другому компьютеру весьма затруднительно.

    ---upd---
    Эх, была у меня единственная чистая болванка, поставил я на нее BartPE LiveCD, запустился, а там местный FileManager глючит так что в дереве все поля пустые - не показывает имена директорий-файлов, но хуже что этот BartPE не увидел мой винт, так что ничего и сделать нельзя .. Придется завтра уже искать новый диск и другой LiveCD ...
    Последний раз редактировалось Commilfo; 25.02.2010 в 02:30.

  6. #5
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    38
    Удалил C:\WINDOWS\system32\Drivers\feizpuvt.sys (выслал карантин).
    Но остается еще "перехватчик spya.sys", и какие-то tmp появились.
    Новые логи прилагаю. GMER про руткиты уже не кричит, как раньше - теперь он spya.sys (точнее, сейчас это spao.sys) руткитом не считает.

  7. #6
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    38
    Есть ли какие-нибудь идеи, как поймать перехватчика spya.sys? Файла такого не существует. MSE/DrWeb вирусов не находят. Но, время от времени, какой-нибудь обычный процесс начинает постоянно занимать 100% ядра, например, taskmgr.exe или lsass.exe, и если это системный процесс, как последний, незавершаемый, все виснет, окошки не перерисовываются, только reset. Иногда IE/Chrome подвисает, так что только завершать процесс и запускать заново .. Вирус живет и что-то творит!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Это не вирус:
    Код:
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    Его драйвер.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах ничего подозрительного ...

  10. #9
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    38
    Хм .. Что ж тогда все так глючить стало.
    daemon у меня всегда стоял, но до сих пор ни разу не бывало в логах AVZ "перехватчика spxx.sys". И зачем он меняет эти буквы xx. И GMER его определял руткитом перед этим ..
    Ладно, авось, тогда - спасибо за помощь!

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,689
    Вес репутации
    3028
    Цитата Сообщение от Commilfo Посмотреть сообщение
    И GMER его определял руткитом перед этим ..
    Руткитом был C:\WINDOWS\system32\Drivers\feizpuvt.sys
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \feizpuvt.sys - Rootkit.Win32.Agent.aioy ( DrWEB: Trojan.NtRootKit.5980, BitDefender: Gen:Rootkit.Nixoa.1, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Commilfo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус в C:\WINDOWS\system32\drivers\ndis.sys
      От Bonifan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.10.2010, 12:27
    2. Вирус в папке C:\WINDOWS\system32\drivers
      От Vallera в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.11.2009, 19:47
    3. drivers\bsrbt.exe, Drivers\sptd.sys и i5m9z4a5w4x7.exe
      От Roamer в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 25.10.2009, 17:32
    4. Вирус \system32\drivers\utg5odu4.sys
      От Grower в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.05.2009, 15:24
    5. вирус C:\WINDOWS\system32\drivers\sysdrv.exe
      От ageevd в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.03.2009, 20:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01584 seconds with 16 queries