[решено] Подозрение на руткит: скрытая служба, неизвестное устройство, BSODы.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Подозрение на руткит: скрытая служба, неизвестное устройство, BSODы.

Здравствуйте, уважаемые хелперы. Прошу вашей помощи.

Подхватил что-то серьезное (предполагаю, из-за того, что брат иногда отключал файерволл Online Armor - я поленился сразу настроить его под Fallout3 :( ). Когда - не знаю; заметил сегодня, когда при быстром сканировании CureIt'ом выдало ошибку и сканер закрылся (при этом сказав, что обнаружил вирус, и выдав непонятные мне данные RC=3221225477).

Решил просканироваться GMER'oм, несколько раз во время проверки случался BSOD, в безопасном режиме тоже. (Может, правда, это было из-за Rootkit Revealer'a :unsure: , не знаю...)
GMER обнаружил скрытую службу, использующую svchost.exe, имя драйвера состояло из бессмысленного набора букв (что-то вроде "esvfmmni.sys"); также были записи в разделах HKLM\SYSTEM\CurrentControlSet\Services, там был указан пусть к dll-файлу (имя тоже произвольное). Поиском такого файла не нашел, драйвера подозрительной службы тоже.

Тут уж я, извините, занялся самолечением: снес скрытую службу в надежде, что работа компа станет постабильнее. По крайней мере, BSOD случился после завершения сканирования GMER'ом, лог прикрепляю ( :( ничего, касающегося скрытой службы, программа теперь не нашла..).

Сейчас снова провел быструю проверку CureIt'ом, - никаких ошибок не произошло. И вирусов не нашел (RC=160).

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

В хост-файл вы занесли столько адресов(несколько сотен) ?

Цитата:

Цитата Paul-SFL

лог прикрепляю »

архив с логом Gmer и HiJackThis битый...

Цитата:

Цитата Paul-SFL

Решил просканироваться GMER'oм, несколько раз во время проверки случался BSOD, в безопасном режиме тоже »

Такое иногда случается у этой программы. Например на моём компьютере BSOD'а нет, при выполнении сканирования, но экран гаснет стабильно и насовсем. Значит не судьба увидеть эти логи.

Файл Hosts вами правлен. Вы прописывали адреса?

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('RegMonitorEx');

 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\DOGIUNJHW.exe','');

 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\GPJKYR.exe','');

 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\NGGYV.exe','');

 QuarantineFile('C:\Program Files\WinPcap\rpcapd.exe','');

 QuarantineFile('C:\WINDOWS\system32\DRIVERS\litdpl.sys','');

 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\esihdrv.sys','');

 QuarantineFile('H:\Fxdrv.sys','');

 QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\mondrv.sys','');

 QuarantineFile('C:\WINDOWS\system32\SVKP.sys','');

 QuarantineFile('C:\WINDOWS\system32\drivers\TDIMSYS.SYS','');

 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\TwmXlCor.sys','');

 QuarantineFile('ultra.sys','');

  QuarantineFile('spaf.sys','');

 DeleteFile('C:\WINDOWS\System32\Drivers\mondrv.sys');

DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');

BC_ImportDeletedList;

ExecuteSysClean;

BC_DeleteSvc('RegMonitorEx');

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=%s

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

Drongo, у меня архив нормально открывается. 7-Zip'ом паковал, - может, в этом проблема? Логи в .txt выкладываю.
В hosts записи добавлял Spybot S&D.

iskander-k, MBAM ничего не нашел. Сейчас выполню лечение и сделаю новые логи AVZ и HJT. GMER'ом или еще чем делать?

Все выполнил.
Правда, Advanced Launcher заглючил, переустановлю потом :) ..
Сейчас подготовлю логи.

Да, кстати, svchost.exe (1 из 5) сейчас что-то непривычно много ресурсов потребляет: 3-8 % нагрузки на ЦП и 21 Мб памяти..

Не, извините, логи только завтра выложу, щас не могу..

Ответ из антивирусной лаборатории:

Цитата:

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

С уважением, Владислав Пинтийский
Вирусный аналитик

Новые логи:

Цитата:

Цитата Paul-SFL

Да, кстати, svchost.exe (1 из 5) сейчас что-то непривычно много ресурсов потребляет: 3-8 % нагрузки на ЦП и 21 Мб памяти.. »

В какие моменты потребляет ? У вас 21 Мб у меня 23Мб - думаю что это нормально.

Paul-SFL, А ну-ка, попробуйте выполнить скрипт. Компьютер перезагрузится. :)

Код:

begin

 ExecuteRepair(6);

RebootWindows(true);

end.

iskander-k, сейчас вот перезагрузил комп, памяти 17 Мб, но меня больше нагрузка на ЦП интересует. Потребляет постоянно.. Я не уверен, что так не было всегда, просто в этот раз как-то бросилось в глаза :unsure: ..
Drongo, сейчас :) .
-----
Выполнил.

Цитата:

Цитата Paul-SFL

Выполнил. »

Результат есть? Или как было?

Drongo, в "Моем компьютере" появилась папка "Web Folders". Состояние компа нормальное, по крайней мере каких-то видимых неполадок не наблюдается.

• Для отключения веб папки, выполните скрипт AVZ

Код:

begin

 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);

RebootWindows(true);

end.

Drongo, спасибо :) , то что нужно. Тему можно отметить решенной?

Paul-SFL, Если считаете, что решена - отмечайте. :)

Хорошо :) .
Можно вопрос: что это за зараза была :) ? Не из праздного любопытства спрашиваю, действительно интересно.

Paul-SFL, В системе остались остатки от драйвера AVZ и записи в реестре. Это и давало неизвестную службу и поиск неизвестного устройства. Некорректно отработала утилита видимо.

Во как.. Спасибо :) .