Главная категория > Компьютеры, сканеры ШК, Клавиатуры, принтеры и ПО и т.д.
Борьба с руткитами
Юр:
Страшно мне сделалось, когда я посмотрел результат сканирования AVZ. Вот только часть:
--- Цитировать ---Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[64D0B716]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[64D0B9A6]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[64D0BB26]
Функция user32.dll:UnhookWinEvent (685) перехвачена, метод APICodeHijack.JmpTo[64D0B896]
Функция user32.dll:UnhookWindowsHookEx (687) перехвачена, метод APICodeHijack.JmpTo[64D0BCA6]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ChangeServiceConfig2A (54) перехвачена, метод APICodeHijack.JmpTo[64D08286]
Функция advapi32.dll:ChangeServiceConfig2W (55) перехвачена, метод APICodeHijack.JmpTo[64D083B6]
Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод APICodeHijack.JmpTo[64D07AD6]
Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод APICodeHijack.JmpTo[64D07EC6]
Функция advapi32.dll:CreateServiceA (102) перехвачена, метод APICodeHijack.JmpTo[64D06E36]
Функция advapi32.dll:CreateServiceW (103) перехвачена, метод APICodeHijack.JmpTo[64D072A6]
Функция advapi32.dll:DeleteService (177) перехвачена, метод APICodeHijack.JmpTo[64D078D6]
Функция advapi32.dll:SetServiceObjectSecurity (572) перехвачена, метод APICodeHijack.JmpTo[64D09D36]
--- Конец цитаты ---
В ужасе бросился я искать антируткиты.
avgarkt 1.1.0.42 как Сизиф борется с каким-то скрытым драйвером в папке Drivers. После удаления он, видимо, восстанавливается, но под другим именем, потому что после ребута и запуска утилиты в этой папке появляется новый скрытый файл, который ранее утилита не находила.
Последний раз после запуска AVG я решил этот драувер не удалять, а проверить систему утилиткой Касперского TDSSKiller, но она этого драйвера не нашла, зато нашла там же другой драйвер sptd.sys, который, по-идее, является драйвером для работы виртуальных приводов.
Зато его нашла GMER. А еще кучу всяких страшных записей в логе, включая spqy.sys .
Но притом, что AVZ обнаруживает перехваты системных функций, в итоге она пишет:
--- Цитировать --- Проверка завершена
Просканировано файлов: 403, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
--- Конец цитаты ---
Касперская примочка тоже резюмирует: заражений не обнаружено.
В итоге я в недоумении, чем заражен мой комп и заражен ли вообще.
angre:
Можно попробовать Sophos Anti-Rootkit
http://downloads.sophos.com/support/cleaners/sar_15_sfx.exe
GeorgSerg:
Юр, а что критичного ты видишь ? Перехваты были, есть и будут всегда.
Кроме AVZ ведь туева хуча процессов (да и программ) запущена .
Попробуй, как angre прописал - он плохого не посоветует ! Как - то давненько
уже я по его рекомендации вылечился ComboFix_ом , ессно аккуратно - зело
убойная прога .
Если не получится - ну тогда приходи в гости в пятницу - RegRun Security Suite
Gold и впридачу Каспер на Линуксе, запуск с СиДюка , тебя ждут ..
Юр:
--- Цитата: GeorgSerg от 02/06/2011 00:14:06 ---Юр, а что критичного ты видишь ? Перехваты были, есть и будут всегда.
--- Конец цитаты ---
Меня сильно смущает то, что эти неустановленные проги зачем-то размещают скрытые драйверы. Зачем легальной проге скрывать свои драйверы? Да и название у метода криминальное (угоня́ть самолёт, занима́ться возду́шным пира́тством, останови́ть автомобиль и т.п. с це́лью грабежа́; соверши́ть налёт, ограбле́ние, налёт). :)
Надо бы отправить отчеты антивирусологам, да их там и так завалили просьбами.
--- Цитата: GeorgSerg от 02/06/2011 00:14:06 ---Попробуй, как angre прописал - он плохого не посоветует !
--- Конец цитаты ---
Ну, это само собой. Просканировал Sophos-ом, он тоже ругается на скрытый sptd.sys, но категорично не предлагает его удалить. Еще нашла пару гадостей с неприлично длинными нечитабельными названиями в папке временных файлов Temporary Internet Files (позор Касперычу?), и они тоже зачем-то скрыты (ну, их-то точно казню).
А вот постоянно самовосстанавливающийся файл Sophos почему-то проигнорировал.
Еще ругается на экзешник от IDA Pro Advanced v5.5 (я пользуюсь младшей версией). Вот теперь думаю, запускать ли его?
--- Цитата: GeorgSerg от 02/06/2011 00:14:06 ---Если не получится - ну тогда приходи в гости в пятницу - RegRun Security Suite
Gold и впридачу Каспер на Линуксе, запуск с СиДюка , тебя ждут ..
--- Конец цитаты ---
Путешествие к тебе, конечно, всегда приятное предприятие, но на машину я не заработал, а тащить на себе системный блок мне не фартит. :) Или ты про дистрибутивы?
angre, спасибо.
Юр:
Их хелпа AVZ:
--- Цитировать ---Обычные программы (не говоря уже о компонентах системы) не прибегают к маскировке своих процессов и файлов, поэтому маскирующийся процесс однозначно подозрителен. Однако однозначно судить о вредоносность нельзя - например, известен ряд безопасных программ, применяющих маскировку процесса и файлов для их защиты от обнаружения и удаления троянскими программами.
--- Конец цитаты ---
Но ряд таких программ мне пока не известен.
Надеюсь, что подмены сделаны антивирусным монитором.
Навигация
Перейти к полной версии