Перейти к содержанию
hunter-12

вирус, скрытый руткитом

Recommended Posts

hunter-12

поймал вирус, антивирь не видит, действия руткита идут из sptd.sys и еще откуда-то

logs.zip

logs.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
поймал вирус, антивирь не видит, действия руткита идут из sptd.sys и еще откуда-то

sptd.sys -- это нормально. Используется установленной у вас программой Alcohol 120%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

K_Mikhail

вы уверены, что он должен чтото менять? посмотрите логи, там еще uphclean....sys что то делает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

вы уверены, что он должен чтото менять?

На счёт sptd.sys абсолютно уверен.

посмотрите логи, там еще uphclean....sys что то делает

Файлы C:\WINDOWS\system32\uphclean.exe и C:\WINDOWS\system32\drivers\uphclean.sys можно проверить на http://virustotal.com, хотя почти уверен, что это Microsoft User Profile Hive Cleanup Service.

UPD:

Скачал себе Microsoft User Profile Hive Cleanup Service, поставил. RootKit Unhooker выдаёт перехват той же функции, что и у вас в логе Report.txt:

===

NtUnloadKey

Actual Address 0xF5C0F6D0

Hooked by: C:\WINDOWS\system32\Drivers\uphcleanhlp.sys

===

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

значит руткитов у мну нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
значит руткитов у мну нет?

Вредоносных -- нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

спасибо, обнадежили, только как вирус удалить, если его антивирь не видит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
спасибо, обнадежили, только как вирус удалить, если его антивирь не видит?

Какой из них не видит? Установленный у Вас NOD32?

Из лога Dr.Web CureIt!:

===

C:\Documents and Settings\Admin\Мои документы\Мои файлы\kolibri_ru\HD_load\9x2klbr\9x2klbr.exe инфицирован Trojan.Click1.3666 - отказ от лечения

===

с последующим

===

C:\Documents and Settings\Admin\Мои документы\Мои файлы\kolibri_ru\HD_load\9x2klbr\9x2klbr.exe - неизлечим - удален

===

Т.е. Вы удалили обнаруженный вредоносный код не сразу по запросу сканера на лечение, а по окончании самого процесса сканирования Dr.Web CureIt!.

Файлы C:\WINDOWS\system32\uphclean.exe, C:\WINDOWS\system32\drivers\uphclean.sys, c:\windows\system32\drivers\sptd.sys и не должны определяться как вредоносные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

нод не видит, вирь етот я скачал уже давно, это прога, незнаю почму там вирь, но я его не запускал никогда, это не изза него

у меня портится память, експлорер глючит, синие экраны переодические, некоторые проги отказываются работать, не работают некоторые службы,втч вин инсталлер, нет большого кол-ва иконок в панели управления, ярлыки не работают, работают только по правой кнопке и т.д., что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
нод не видит, вирь етот я скачал уже давно, это прога, незнаю почму там вирь, но я его не запускал никогда,

Откуда качали, кстати? Можете прямую ссылку привести?

это не изза него

По "проблемным" sptd.sys и uphclean.*, вроде как, разобрались... Других подозрительных мест, по логам, нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

вирь по видимому либо новый, либо портит сигнатуры антивируса

З.Ы. а по вирусу - погуглите по колибриос, но там вроде уже эту прогу не включают, но это наверн не вирь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
вирь по видимому либо новый, либо портит сигнатуры антивируса

Или, как вариант, -- либо его (вируса) просто нет, а есть проблемы, вызванные какими-то конфликтами ПО.

Ещё как вариант -- скиньте мне на m500[at]yandex.ru пару исполняемых файлов, допустим C:\Windows\Explorer.exe, C:\Windows\system32\svchost.exe

З.Ы. а по вирусу - погуглите по колибриос, но там вроде уже эту прогу не включают, но это наверн не вирь

Точное название (латинскими буквами), приведите, пожалуйста. А то из полезного по запросу нашлась лишь операционная система KolibriOS, сделанная на основе MenuetOS. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

уже скидываю, но нод перестал ругаться вообще на что либо , а про колибри это оно и есть, там ее можно скачать и там будет этот файл вместе с ее утилитами, которые с ней в одном архиве лежат )(а может уже и нет утилиты) ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

а еще на другом форуме мне по минидампам сказали, что похоже ктото портит память

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
мне по минидампам сказали, что похоже ктото портит память

Если у вас стоят два модуля памяти (ОЗУ), выключите ПК, выньте один, включите ПК и если загрузится, то поработайте с одним некоторое время. Повторите процедуру с другим модулем. Так можно выявить глючный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

Андрей-001

у мну ноут и еще на гарантии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей-001

у мну ноут и еще на гарантии

Ага, после вгляда на лог я вижу, что у вас ноутбук от ASUS.

Тогда надо немного почистить систему от наставленного.

То, что у вас сейчас - нуждается в кардинальной оптимизиции.

1) Деинсталлировать или отключить в HT все O3 - Toolbar:, в том числе Google Toolbar. Если стоит что-то от Google, то оно устаналивает службу обновления GoogleUpdate. Если в них нет особой нужды, то деинсталлируйте или пофиксите. Избавитесь заодно и от Service: Google.

2) Пофиксите все O2 - BHO:

3) Как для себя, так я бы пофиксил все пункты O4 - HKLM\..\Run: - кроме антивирусного [nod32kui]

Все эти технологии от ATI и ASUS ATK, Gear, а также Adobe, punto и пр. хрень.

Так в автозагрузке у вас останется только модуль антивируса и ctfmon.exe

4) WebMoney пусть запускается только от значка, если вы не производите ежесекундных денежных операций.

Не понял, что за драйвер a8vq3xyg.SYS... Проверьте его через VirusTotal.com

Сейчас получается такая картина, кроме автоматического обновления Windows, у вас работают службы Google, Adobe, ATI, ASUS, WebMoney, Punto... И все одни запускаются вместе с системой и жаждят обновления через Интернет.

Конечно виртальной памяти не хватит!

Кроме всего прочего работает ещё и torrent. Его также нужно приручить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

punto мне нужен, атк тоже, webmoney я уже удалил(????а откуда вмагент в памяти, надо разобраться!) HT что такое? и что такое BHO?гугль апдейтер я удолил, но чтото он после нескольких ребутов остается в памяти, уже становится понятно ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

ну есть тут кто, кто знает, что это за вирь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NOSS

Установи Startup Faster! с ним легко за автозагрузкой следить, хотя иногда в msconfig заходи.Его тоже могут обойти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

я думал,что то дельное, у меня устновка не работает, как я могу эту чудопрогу поставить?? а лучше всего следить по реестру и системным файлам))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

hunter-12

HT что такое? и что такое BHO?гугль апдейтер я удолил, но чтото он после нескольких ребутов остается в памяти, уже становится понятно ))

HT - HijackThis. Вы же логи делали в ней.

BHO - это так называемые "браузерные помощники", устаналиваются или с какой-то вашей программой или тайно, без вашего ведома.

В окне HijackThis проставье галочки на тех позициях, что я указал выше (выделил жирным шрифтом) и нажмите кнопку Fix. Дождитсь окончания и нажмите Scan. Просмотрите что осталось. Если выдастся запрос на перезагрузку - согласитесь.

GoogleUpdate - хуже вируса в том плане, что просто так его фиг удалишь.

В файле отчёта есть упоминание файла a8vq3xyg.SYS. Перешлите его на VirusTotal.com. Это может быть один из ваших драйверов, но что-то какой-то неведомый и с подозрительным названием.

Ссылку с результатами проверки вставьте сюда для просмотра.

После фикса сделайте ещё раз лог в HijackThis и приложите к сообщению.

Если меня не будет на линии, то другие форумчане посмотрят и подскажут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

пофиксил, драйвера этого как ни странно нет, вот лог

Кстати, у мну еще нод сдох, может из-за случайной установки гуарда авиры?( я хотел только антивирь его поставить, то бишь сканер, а поставил и гуард, чтоб удалить ребутнулся, а нод уже и не запускается, авиру удалил, нод как не запускался, так и не запускается)

hijackthis.rar

hijackthis.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

ну, есть у кого мысли, что это за вирь?

З.Ы. снодом я уже разобрался

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

hunter-12

Отлючите "Восстановление системы"

Уберите из автозагрузки:

C:\Program Files\uTorrent [tfile.ru]\utorrent.exe

Удалите вручную (прям всю папку Google):

C:\Program Files\Google\Update\GoogleUpdate.exe

Пофиксите:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: CCC.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)

O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://arcade.icq.com/online/online2/luxor_2/mjolauncher.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/Game...ronGameHost.cab

Если система была бы нелицензионная (к примеру), то ещё можно было бы пофиксить и

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1272107043484

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1272106997000[/url]

Отключите полностью дампирование.

Перезагрузите систему обычным способом.

Потом в разделе "Быстродействие" как на стриншоте сделайте у файла подкачки размер 2048-2048 (или 2046-2046).

Применить. ОК и ещё раз перезагрузить.

Если и после всего этого будут глюки, то несите ноут в сервис-центр не мешкая. См. так же, что я написал вам про сервис-центр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×