Показано с 1 по 12 из 12.

Trojan.NtRootKit.9374 (заявка № 83779)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    5
    Вес репутации
    28

    Thumbs up Trojan.NtRootKit.9374

    Добрый день!

    Поймал на днях трояна, обитает в %windir%\system32\drivers под именем fevhcuo.sys. Заодно периодически создаёт в той же папке файлы mrxsmb.sys и uteyndax.sys. Причём, первый из них восстанавливается буквально через несколько секунд после ручного удаления:



    Заодно и прописался в реестре в разделе со службами:



    При сканировании утилитой DrWeb CureIt определяется как Trojan.NtRootKit.9374. Если по окончании проверки пометить на удаление, то при следующем запуске система отказывется грузиться, и приходится восстанавливаться на последнюю работающуу версию, где этот файл, естественно, присутствует.

    После выполнения через AVZ скрипта «лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info» система также отказывается запускаться.

    Запуск упомянутых выше утилит в безопасном режиме не помогает.

    Ещё обнаружил в окне автозагрузки msconfig файл wwwznv32.exe, причём по указанному адресу ничего не было.



    При попытке снять галочку создалась ещё одна такая же строчка. С неё уже снять галочку не получалось: при повторном запуске msconfig она восстанавливалась. Затем в какой определённый момент этот файл таки появился в папке автозагрузки, и удалить вручную его не получалось! Потом так же таинственно исчез, и повторно смоделировать данную ситуацию не получалось. После перезагрузки строчка осталось в одном экземпляре со снятой галкой, а автозагрузке также было пусто. Не знаю, правда, насколько это связано с исоходной проблемой, но так, на всякий случай…

    И да, после этого подозрительно долго стал проходить процесс завершения работы Windows.

    Логи их AVZ прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Восстановление системы надо отключить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    5
    Вес репутации
    28
    Отключил.
    Теперь перезагрузка происходит нормально, однако файл остаётся своём на месте.

    Добавлено через 3 минуты

    Нашёл вот похожую тему. Я так понял, ручное удаление с другого компа поможет? И что делать с перехватчиком spxx.sys, там вроде так и не разобрались…
    Последний раз редактировалось ВасяЪ; 25.07.2010 в 10:39. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не торопись, скрипт напишу для зачистки.

    spxx.sys - детка Даемона, его не бойся.

    Добавлено через 2 минуты

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\bc745d1.exe','');
     QuarantineFile('C:\WINDOWS\system32\7c97730b.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\uteyndax.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\uteyndax.sys');
     DeleteFile('C:\WINDOWS\system32\7c97730b.exe');
     DeleteFile('C:\WINDOWS\system32\bc745d1.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Сделать лог Гмером, как читать в "Чаво".
    Прислать карантин по Привилам.
    Последний раз редактировалось PavelA; 25.07.2010 в 11:27. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3022
    Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по fevhcuo и выберите "Turn Run Off", потом подтвердите перезагрузку.

    html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

    Выполнить скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\mrxsmb.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\fevhcuo.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('fevhcuo');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    5
    Вес репутации
    28
    Цитата Сообщение от PavelA Посмотреть сообщение
    Не торопись, скрипт напишу для зачистки.
    Поздно

    Загрузился уже с Live CD и удалил вручную. После этого успешно зашёл в нормальном режиме. Затем залез в реестр и удалил его ветку (теперь она была доступна и отображалась полностью).

    Скрипт запускать всё ещё имеет смысл? А то файлов bc745d1.exe и 7c97730b.exe вроде не видно нигде, но с другой стороны, в логах AVZ подозрительные фрагменты остались:

    Код:
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
    CmpCallCallBacks = 001453F8
    Disable callback - уже нейтирализованы
     Проверка IDT и SYSENTER завершена
    Код:
    1.5 Проверка обработчиков IRP
     Драйвер успешно загружен
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8A2091F8 -> перехватчик не определен
     Проверка завершена
    Цитата Сообщение от PavelA Посмотреть сообщение
    Сделать лог Гмером, как читать в "Чаво".
    Просканировал. Однако по окончании проверки он намертво завис, поэтому логов не осталось Попозже, может, попробую ещё раз. В результате же автоматической экспресс-проверки проверки был выдан девайс:

    Код:
    Device  \FileSystem\Ntfs \Ntfs  8A2091F8
    причём, судя по значению, тот же, на который и AVZ ругался.

    Цитата Сообщение от PavelA Посмотреть сообщение
    Прислать карантин по Правилам.
    Ну, карантина нету, т.к. скрипт не запускал, однако копию файла fevhcuo.sys я заархивировал и могу выслать, если надо.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от ВасяЪ Посмотреть сообщение
    копию файла fevhcuo.sys я заархивировал и могу выслать, если надо.
    Загрузите его в zip-архиве с паролем virus
    через ссылку Прислать запрошенный карантин вверху этой темы.

  9. #8
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    5
    Вес репутации
    28
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Загрузите его в zip-архиве с паролем virus
    через ссылку Прислать запрошенный карантин вверху этой темы.
    Готово.

    Код:
    Файл сохранён как	100725_201445_virus_4c4c62f585b93.zip

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3022
    Rootkit.Win32.Agent.bier
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    5
    Вес репутации
    28
    Цитата Сообщение от PavelA Посмотреть сообщение
    Сделать лог Гмером, как читать в "Чаво".
    Таки сделал (см. вложение).

    Гмер этот почему-то после запуска жутко вешает систему, порой так, что ни на какие мои действия не реагирует, и приходится выключать питание. Или это он всегда так?

    Кстати, в логах AVZ до сих пор:

    Код:
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
    CmpCallCallBacks = 001453F8
    Disable callback - уже нейтирализованы
     Проверка IDT и SYSENTER завершена
    Код:
    1.5 Проверка обработчиков IRP
     Драйвер успешно загружен
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A2091F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8A2091F8 -> перехватчик не определен
     Проверка завершена
    Или опять-таки ложная тревога, как и с spxx.sys?

    Цитата Сообщение от thyrex Посмотреть сообщение
    Rootkit.Win32.Agent.bier
    А есть какая-нибудь более подробная информация? Что он конкретно творит, чем опасен?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3022
    C:\DOCUME~1\Vasja\LOCALS~1\Temp\sfsvc.exe запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Все остальные Ваши примеры вполне безобидные
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \fevhcuo.rar - Rootkit.Win32.Agent.bier ( DrWEB: archive: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan )


  • Уважаемый(ая) ВасяЪ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу избавиться от Trojan.NtRootKit.9374
      От Serko1964 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 23.08.2010, 17:40
    2. Trojan.NtRootKit.9374
      От Scholes_Chel в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.07.2010, 23:16
    3. Trojan.NtRootKit.880
      От hung_andrew в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 05:59
    4. Trojan.NtRootkit.453 и Trojan.DownLoader.35206
      От Pavel Taranenko в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:38
    5. Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478
      От Sky_Tech в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.02.2008, 09:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00570 seconds with 16 queries