Решена Подозрение на руткит. TCPRoute

[fixrootkit]

Здравствуйте,
Подцепил какуюто заразу - не дает запускать браузеры (через раз включаются), блокирует сайты с АВ, не дает запустить Mbam, AVZ, hijackthis, combofix и т.д.

В безопасном режиме получилось запустить переименованый hijackthis (лог приложил), а так же получилось инатслировать Malwarebytes (лог тоже приложил), который нашел нечто TCPRoute.Hijack.

После удаления этой заразы Malwarebytes предложил перезагрузится, а после перезагрузки всё вернулось обратно. И теперь, как я не пытался файлы переименовывать - Mbam, hijackthis, AVZ, combofix не запускаются.

Пробовал tdsskiller в безопасном режиме - ничего не находит.

Помогите пожалуйста советом. Буду очень признателен.

PS. К инфицированному компу я подсоединяюсь дистанционно через TeamViewer

 

[Sfera]

fixrootkit, здравствуйте.
Воспользуйтесь для сбора логов Полиморфным AVZ

либо запустить AVZ с ключом: avz.exe ag=y (пуск - выполнить в обзоре найдите AVZ, выберете его, далее, в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок)

 

[fixrootkit]

Спасибо за ответ!
Но AVZ все равно не запускается (ни полиморфная версия ни обычная).
Пробовал переименовывать файлы по разному, а так же запускать с параметрами AM=Y и AG=Y.

Нет ли еще идей как побороть эту проблему? Заранее благодарен!

 

[akok]

Хорошо давайте так:

скачайте один из этих файлов:
http://download.bleepingcomputer.com/grinler/eXplorer.exe
http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe
http://download.bleepingcomputer.com/grinler/uSeRiNiT.exe

Запустите утилиту и дождитесь окончания работы. После этого сразу запустите Combofix.

 

[fixrootkit]

Хорошо давайте так:

скачайте один из этих файлов:
....exe.

Перепробовал все 3 (каждый раз ребутил комп перед новой попыткой)
Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...

 

[zirreX]

Запустите Диспетчер задач, во вкладке Процессы отметьте процесс Explorer.exe и нажмите Завершить процесс. Перейдите на вкладку Приложения, нажмите Новая задача и через Обзор укажите расположение AVZ - Ok. Запустится AVZ.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\apppatch\apkhjsm.dat','');
DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте логи AVZ и лог RSIT

Добавлено через 4 минуты 1 секунду
Также прикрепите новый лог полного сканирования MBAM.

 

[fixrootkit]

Спасибо! Получилось запустить AVZ Вашим способом (пользовался полиморфным AVZ, предложенный Sfera)

Следуя вашим инструкциям, отправил quarantine.zip по указанной ссылке.
Затем просканировал систему AVZ, RSIT и MBAM (нашел 4 инфицированных объекта, 2 из которых: winlogon.exe - это исталяшка MBAM, svchost.pif - полиморфный AVZ)
Все 3 лога приложил.

Какие действия следует предпринять теперь? Спасибо заранее.

 

[akok]

Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...

ее задача отключить вредоносные процессы и являться "защитой" для ComboFix.

 

[fixrootkit]

ее задача отключить вредоносные процессы и являться "защитой" для ComboFix.

Я не спорю с этим - просто ComboFix так и не запустился на тот момент.

 

[akok]

ок.

Лог AVZ не тот который нужен. Нам нужны файлы:

virusinfo_syscure.zip, virusinfo_syscheck.zip

Которые хранятся в папке AVZ=>Log.

 

[fixrootkit]

ок.

Лог AVZ не тот который нужен. Нам нужны файлы:

Которые хранятся в папке AVZ=>Log.

Пардон, приложил нужные.

 

[zirreX]

Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.

 

[fixrootkit]

Вдруг нужно еще, то вот старый virusinfo_syscheck.zip
А сейчас буду следовать Вашим инструкциям, zirreX.

 

[akok]

старый virusinfo_syscheck.zip

Старый не нужен, нужен новый лог.

 

[fixrootkit]

Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.

Выполнение скрипта привело к экрану смерти. После перезагрузки сделал новые логи. Прикрепил к этому посту - может все таки чтото скрипт успел сделать нужное?

 

[akok]

Скрипт отработал. Теперь подготовьте лог Combofix.

 

[fixrootkit]

Повторно запустил скрипт от zirreX (пост 12)
на этот раз система корректно перезагрузилась. Логи AVZ прилогаются.

 

[fixrootkit]

Скрипт отработал. Теперь подготовьте лог Combofix.

Сорри, не заметил Ваш ответ. Сейчас займусь Combofix...

 

[fixrootkit]

Готов лог ComboFix, программа отработала нормально, только ругнулась на Stage_3 - я не записал по глупости сообщение (
И планово перезагрузился комп. Вобщем лог прилогаю.

Подскажите что дальше? Спасибо!

 

[akok]

Проверьте на www.virustotal.com ссылку на результат запостите
c:\windows\regedit.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

FileLook::
c:\windows\system32\FsUsbExDisk.SYS

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.