Не получается вычистить руткит!

[Mur466]

Компьютер попал ко мне в почти убитом состоянии - слетел драйвер видеокарты, не работал TCP-IP.
Лечил с помощью CureIt, NOD32, Kav, Avz. Все находили кое-что, но какая-то зараза оставалась.
С помощью загрузочного CD (Bart PE+Kasper Intrernet security) удалось вычистить казалось бы последнюю порцию заразы, в том числе кое-что классифицировалось как rootkit.

Но судя по всему что-то еще сидит. Симптомы следующие:
1. AVZ ругается на маскировку драйвера parport.sys, причем это ноутбук, у которого нету параллельного порта.
2. Сразу после загрузки Outpost ругается, что скрытый процесс запрашивает исходящее соединение (svchost.exe запущен winlogon.exe)
3. Система не грузится в safe mode. Загрузка доходит до списка пользователей (это XP home) и затем система выключается. Не падает, а именно выключается, так как перезагрузка после BSOD отключена, минидампы не создаются, а в system event log создается запись "Служба журнала событий остановлена".

Прилагаю протоколы avz и hijackthis собранные согласно правилам раздела.

[PavelA]

Почистить корзину и временные файлы Интернет.
Можно воспользоваться CCleaner.

Много еще всего осталось. Сейчас попробую собрать воедино.
в AVZ выполнить скрипт:

Код:

begin
SetAVZPM(true);
RebootWindows(true);
end.

После перезагрузки выполнить второй скрипт:

Код:

begin
SearchRootkit(true, true);
QuarantineFile('\SystemRoot\System32\Drivers\Parport.SYS' ,'');
RebootWindows(true);
end.

После перезагрузки прислать карантин через форму (ссылку см. вверху темы)

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\mprwanp.dll');
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
 DeleteFile('atmmgr32.dll');
 DeleteFile('atmstat.dll');
 DeleteFile('confatm.dll');
 DeleteFile('confjfg.dll');
 DeleteFile('confjpg.dll');
 DeleteFile('confwmv.dll');
 DeleteFile('confxxn.dll');
 DeleteFile('e1.dll');
 DeleteFile('jfgmgr32.dll');
 DeleteFile('jfgstat.dll');
 DeleteFile('jpgmgr32.dll');
 DeleteFile('jpgstat.dll');
 DeleteFile('wmvmgr32.dll');
 DeleteFile('wmvstat.dll');
BC_ImportDeletedList;
BC_DeleteSvc('MySQL');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пофиксите в HijackThis то, что останется из:

Код:

O2 - BHO: SXBandMaster Catcher - {628CD0A4-60A0-47C8-838F-86318CCEFB9B} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
O20 - Winlogon Notify: mprwanp - C:\WINDOWS\system32\mprwanp.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)

Сделайте новые логи.

[Mur466]

Для PavelA:
SetAVZPM(true); не проходит проверку синтаксиса, но я включил AVZPM через меню.
В остальном все сделал, как сказано, карантин отправил
Но avz продолжает ругаться на маскировку драйвера parport.sys

для Bratez
После выполнения скриптов часть сообщений HJThis (O20) изменилась -
O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
O20 - Winlogon Notify: mprwanp - C:\WINDOWS\system32\mprwanp.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)

Из них исчезло (file missing). Я теперь не знаю - фиксить их или нет

В результате всех действий:
1. Ругань на parport.sys осталась
2. Safe Mode не грузится
3. НО пропал запрос скрытого процесса на исходящее соединение

[PavelA]

Для PavelA:
SetAVZPM(true); не проходит проверку синтаксиса, но я включил AVZPM через меню.
В остальном все сделал, как сказано, карантин отправил
Но avz продолжает ругаться на маскировку драйвера parport.sys

В карантин не попал parport.sys. Попала другая дллька
Скорее всего, это обшибочка AVZ.

для Bratez
Из них исчезло (file missing). Я теперь не знаю - фиксить их или нет

В результате всех действий:
1. Ругань на parport.sys осталась
2. Safe Mode не грузится
3. НО пропал запрос скрытого процесса на исходящее соединение

Где file missing - фиксить, но только те строчки что писал Bratez.
Safe Mode - восстановить - AVZ - восстановление системы - п.10

Плюс профиксить:

Код:

O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
O20 - Winlogon Notify: jfgmgr - C:\WINDOWS\
O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\
O20 - Winlogon Notify: mprwanp - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: wmvmgr - C:\WINDOWS\

[Mur466]

В карантин не попал parport.sys. Попала другая дллька
Скорее всего, это обшибочка AVZ.

Я загрузился с загрузочного CD BartPE и сравнил C:\windows\system32\drivers\parport.sys с файлом с другой системы с помощью утилиты fc.exe. Они оказались одинаковые. На всякий случай я удалил C:\windows\system32\drivers\parport.sys. AVZ на него ругаться перестал, но в диспетчере устройств он вылез с воскл.знаком. Пришлось вернуть на место.

Safe Mode - восстановить - AVZ - восстановление системы - п.10

Не помогло


Плюс профиксить:

Код:

O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
O20 - Winlogon Notify: jfgmgr - C:\WINDOWS\
O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\
O20 - Winlogon Notify: mprwanp - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: wmvmgr - C:\WINDOWS\

Сделал. Никаких из менений в итоге не заметил.

Есть еще предложения?
Уж очень подозрительная ситуация с safe mode...

[Muffler]

Скопируйте вручную parport.sys и пришлите нам по правилам...

[Mur466]

parport.sys скопировал, загрузившись с CD, и отправил

[PavelA]

@ Mur466 Нужен новый набор логов. Будем изучать, что осталось и подчистите "Корзину".

[Mur466]

Ок, логи сделаю, но теперь уже завтра с утра (я в Москве). Спасибо всем за оперативную помощь.

[PavelA]

Off: Да я тоже вообще-то в столице

[Mur466]

Напоминаю суть проблемы: после лечения зоопарка на ноутбуке, есть сомнения, что вылечилось не все.

Симптомы:
1. Не удается загрузить safe mode. Загрузка доходит до экрана со списком пользователей, через 1 секунду система перегружается. При этом в настоящий момент в system event log не появляется запись "служба журнала событий остановлена"(Хотя вчера при перезагрузке такая запись появлялась). Автоперезагрузка после синего экрана отключена. Создание минидампов включено, но после перезагрузки они не появляются.
Восстановление загрузки safe mode с помощью AVZ не помогает.

2. AVZ ругается на маскировку драйвера parport.sys. Сам драйвер вроде бы "родной". На ноутбуке параллельный порт не установлен.

Новые логи прилагаются.

[PavelA]

Профиксить в HijackThis строчку:

Код:

O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll

По поводу SafeMode: есть утилита Bootvis. Где живет не помню, но можно поискать и при помощи нее посмотреть, что происходит при загрузке.

[Mur466]

Профиксить в HijackThis строчку:

Код:

O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll

Сделал. Теперь outpost работает в каком-то Service Mode, не знаю что это такое.

По поводу SafeMode: есть утилита Bootvis. Где живет не помню, но можно поискать и при помощи нее посмотреть, что происходит при загрузке.

К сожалению, он загрузку SafeMode не трассирует. По крайней мере у меня не получилось. Вместо этого он трассирует загрузку уже после попытки войти в SafeMode.

[PavelA]

Значит надо будет восстановить эту строчку из Backupa hijackThis и поискать в regedit firewall\wl_hook.dll. Причем именно так как написано.
Если найдется, то удалить. Затем заново сделать лог hijackThis и посмотреть на строку. Д.б. указание только на последнюю dll

К сожалению, не знаю как это исправить в Outpost. Может кто-то другой что-то подскажет.

Насчет parport.sys - возможно в BIOS включена поддержка порта. Вот винда и ставит этот драйвер.

[Mur466]

Переставил Outpost, теперь с этой строчкой все в порядке:

Код:

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll

Про parport: В этом ноуте нет возможности войти в BIOS Setup, есть только утилиты для конфигурации BIOS в Control Panel. В них никак параллельный порт не упоминается
В ntbtlog.txt пишется, что он не не загружается.

Код:

Did not load driver \Systemroot\System32\Drivers\Parport.sys

Может с ним все в порядке, так и должно быть?

Меня больше всего волнует не работающий Safe Mode. Ключ SafeBoot в регистри уже восстанавливал и с помощью AVZ и вручную копировал с другой машины. Не помогает

[Макcим]

Меня больше всего волнует не работающий Safe Mode.

Попробуйте так, как написанно здесь (пост №6).

[Mur466]

На этот пост я уже натыкался в своих поисках. Там проблема другая - F8 не работает. А у меня работает.

На всякий случай сделал то, что там описано (отредактировал boot.ini) и загурзил Safe Mode через меню. Ситуация не улучшилась.

Начинается загрузка в Safe mode. Загружаются драйвера, затем черный экран, по углам написано "Безопасный режим Windows XP сборка такая-то", затем синий экран с сообщением "Запуск Windows...", затем появляется список пользователей - под кем войти. Через секунду ноут идет на перезагрузку.

[Ego1st]

а пробовали AVZ - файл - востановление системы - востановление настроек загрузки в SafeMod поставить галочку и выполнить..

[Mur466]

а пробовали AVZ - файл - востановление системы - востановление настроек загрузки в SafeMod поставить галочку и выполнить..

Да, пробовал.