Показано с 1 по 15 из 15.

Словил руткит, не могу вычистить. Прошу помощи!!! (заявка № 7912)

  1. #1
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40

    Exclamation Словил руткит, не могу вычистить. Прошу помощи!!!

    Отключил юрер касперского (комп тормозил, говорит) через месяц зовёт, опять тормозит (но уже без каспера :-) )
    При запуске Нода с WinPE получил сообщения о куче всего (в WinPE не сохранились логи), благополучно удалённого.
    Запомнилось:
    cp20261.nls - spabot/nac
    ndis.sys - вероятно модифицированный Spabot/NAC
    wininet.exe - NewHeur_PE
    перезагруз->установка nod32->обновление nod32
    вроде тихо, но "кто-то" продолжает лепить подобные файлы в корень С:, котрые тут же подхватывает нод.
    Путём ручной замены части сисбиблиотек и это ушло, но осталось следущее:
    вываливается outlook2003, сканер по требованию nod32 (их файлы 100% не порченные, так как после беглой чистки процессов их пару раз запустить удалось)
    avz4 говорит:
    Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
    >>> Код руткита в функции InternetAlgIdToStringA нейтрализован
    Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]
    >>> Код руткита в функции InternetAlgIdToStringW нейтрализован
    после перезагрузки и замены wininet всё по-новому...

    3-й лог попозже выложу. ухожу не перезагруз...

    вот вроде бы всё...
    кстати, на компе установлена CryptoPro, CProCtrl.sys - это наверно от неё...
    Вложения Вложения
    Последний раз редактировалось yu_mor; 12.02.2007 в 21:00. Причина: уточнения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    1. Выпоните скрипт (AVZ, "Меню Файл/Выполнить скрипт"):
    begin
    QuarantineFile('C:\WINDOWS\system32\lsp.dll','');
    QuarantineFile('NDIS.sys','');
    QuarantineFile('Nh.sys','');
    end.

    2. Пришлите то, что попадет в карантин после выпонения скрипта согласно правилам
    3. Необходимо:
    3.1. Загрузиться в защищенном режиме (без поддержки сети)
    3.2. Найти System32\Drivers\NDIS.sys и переименовать его в NDIS.bak
    3.3. изыскать NDIS.sys в дистрибутиве и скопировать его на место переименованного NDIS.sys
    3.4 Перезагрузиться

    Фокус в том, что текущий NDIS.sys на диске заражен вирусом (по вирусному принципу в него внедрен зловред). Именно он пересоздает исполняемые файлы cp*.nls в корне диска (поэтому удалять файлы cp*.nls нет смысла - они опять пересоздадутся). Наилучшим шагом по борьбе с ним является восстановление NDIS.sys из дистрибуции. Не выйдет, я скину чистый NDIS.sys от XP или вручную вылечу присланный на шаге 2 образец.

  4. #3
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    Фокус в том, что текущий NDIS.sys на диске заражен вирусом
    это вы по логам определили?
    NDIS.sys я заменил ешё когда написал "Путём ручной замены части сисбиблиотек и это ушло". файлы nls не плодятся, а беспокоит именно APICodeHijack.JmpTo..., который, видимо, и не даёт запуститься Outlookу и Nodу
    ps: комп пока занят, скрипт выполнить нет возможности.
    Последний раз редактировалось yu_mor; 13.02.2007 в 09:39.

  5. #4
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    Скачал эти файлы (C:\WINDOWS\system32\lsp.dll, C:\WINDOWS\system32\drivers\, C:\WINDOWS\system32\drivers\) себе по сети в D:\progz\vir_\, и быполнил чуть подправленный скрипт:
    begin
    QuarantineFile('D:\progz\vir_\lsp.dll','');
    QuarantineFile('D:\progz\vir_\NDIS.sys','');
    QuarantineFile('D:\progz\vir_\Nh.sys','');
    end.

    hn.sys - это, думается от АМИКОНовского ключа, а вот, что сказал вирустотал про lsp.dll:
    VBA32 3.11.2 02.12.2007 suspected of Trojan-PSW.Lmir.4 (paranoid heuristics)
    другие звереловы молчат...
    Жду дальнейших указаний.
    Последний раз редактировалось yu_mor; 13.02.2007 в 11:16.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от yu_mor Посмотреть сообщение
    Скачал эти файлы (C:\WINDOWS\system32\lsp.dll, C:\WINDOWS\system32\drivers\, C:\WINDOWS\system32\drivers\) себе по сети в D:\progz\vir_\, и быполнил чуть подправленный скрипт:
    begin
    QuarantineFile('D:\progz\vir_\lsp.dll','');
    QuarantineFile('D:\progz\vir_\NDIS.sys','');
    QuarantineFile('D:\progz\vir_\Nh.sys','');
    end.

    hn.sys - это, думается от АМИКОНовского ключа, а вот, что сказал вирустотал про lsp.dll:
    VBA32 3.11.2 02.12.2007 suspected of Trojan-PSW.Lmir.4 (paranoid heuristics)
    другие звереловы молчат...
    Жду дальнейших указаний.
    П.п. 2 был выполнен ? Т.е. файлы присланы нам для анализа согласно правилам ?

  7. #6
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    П.п. 2 был выполнен ? Т.е. файлы присланы нам для анализа согласно правилам ?
    да, вот:
    Результат загрузки
    Файл сохранён как 070213_102759_virus_45d1687fc81f9.zip
    Размер файла 161769
    MD5 c12f046359b996f1440eeed78af22122

    Файл закачан, спасибо!

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от yu_mor Посмотреть сообщение
    да, вот:
    Результат загрузки
    Файл сохранён как 070213_102759_virus_45d1687fc81f9.zip
    Размер файла 161769
    MD5 c12f046359b996f1440eeed78af22122

    Файл закачан, спасибо!
    Да, файлы пришли. Файл LSP.DLL действительно подозрительный - я советую сделать его резервную копию и затем удалить этот файл отложенным удалением AVZ (после удаления и перезагрузки может потребоваться выполнить сканирование AVZ с включенным автоматическим исправлением ошибок SPI).

  9. #8
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    наткнулся на As with all software that uses Winsock2 LSPs, you should be very careful removing ... by hand
    перевёл... ох, боюсь :-)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    сканирование AVZ с включенным автоматическим исправлением ошибок SPI.
    а AVZ делает то, что делает LSPFix?

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от yu_mor Посмотреть сообщение
    наткнулся на As with all software that uses Winsock2 LSPs, you should be very careful removing ... by hand
    перевёл... ох, боюсь :-)

    а AVZ делает то, что делает LSPFix?
    да, примерно - там есть в востановлении системы автоматическое исправление настроек SPI и сброс настроек SPI и TCP/IP (п.п. 14 и 15)

  11. #10
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    Сработало, спасибо!!! Правда понервничать пришлось, оказывается IMON "свалился" и из-за этого инет не работал, стартанул его, и внешне всё нормализовалось...
    Остался вопрос,как избавиться от
    Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
    Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]

    Появились траблы с ftp:
    ftp> o ftp.сервер.ru
    Связь с ftp.сервер.ru
    220 ProFTPD 1.2.9 Server (ProFTPD) [in
    Пользователь (ftp.сервер.runone))
    331 Password required for юзер.
    Пароль:
    230 User юзер logged in.
    ftp> dir
    150 Opening ASCII mode data connection.
    а дальше - дисконнект
    с putом та же история
    короче, залогинится могу, а принять/отправить - НИ-ФИ-ГА

    а вот в ТоталКоммандере фтп работает (но нужна именно ftp.exe...)
    Последний раз редактировалось yu_mor; 14.02.2007 в 18:17. Причина: ещё

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В Тотальном командире, наверное, пассивный режим FTP включён?

  13. #12
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    Цитата Сообщение от pig Посмотреть сообщение
    В Тотальном командире, наверное, пассивный режим FTP включён?
    ДА! Работает только в пассивном режиме.

    Кстати, если отключить подключение в "Сетевых подключениях", то включить его вновь получается раза со второго-третьего.
    Последний раз редактировалось yu_mor; 15.02.2007 в 13:35. Причина: ошибся

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Для ftp.exe в правилах брандмауэра исключения настроены?

  15. #14
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    Цитата Сообщение от pig Посмотреть сообщение
    Для ftp.exe в правилах брандмауэра исключения настроены?
    он (брандмауэр) временно отключен
    Последний раз редактировалось yu_mor; 15.02.2007 в 18:29.

  16. #15
    Junior Member Репутация
    Регистрация
    09.02.2007
    Адрес
    Россия
    Сообщений
    37
    Вес репутации
    40
    Человек в личке (спустя год :-) ) попросил отписать, что это КриптоПРО-шные перехваты:
    Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
    Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]

  • Уважаемый(ая) yu_mor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 27.11.2011, 18:59
    2. Ответов: 1
      Последнее сообщение: 19.05.2011, 19:21
    3. Ответов: 13
      Последнее сообщение: 16.08.2009, 18:51
    4. Не могу добить sysenddrv.sys - прошу помощи
      От BlackVic в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 05.03.2009, 12:14
    5. Прошу помощи - не могу вычистить Trojan.Pandex
      От stbln в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00167 seconds with 17 queries