 |
|
Новый руткит?
Выключает Касперского 2009 с последними базами, не даёт запускаться ТДСС-киллеру от ЛК, периодически появляется окно с предупреждением о перезагрузке Виндоуз ХР СП3 Рус + апдейты. Последний КомбоФикс сообщает о наличии руткита, но после его работы ситуация не меняется. Лог Гмера:
Код:
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-03-01 14:54:38
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST9160821A rev.3.ALA
Running: gmer.exe; Driver: c:\Temp\pxtdqpow.sys
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7FC5360, 0x33AACD, 0xE8000020]
? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Не удается найти указанный файл. !
? C:\ComboFix\catchme.sys Системе не удается найти указанный путь. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Не удается найти указанный файл. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtCreateFile 7C90D0AE 5 Bytes JMP 6340FDC0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider)
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtFlushKey 7C90D34E 5 Bytes JMP 6340FCB0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider)
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtOpenFile 7C90D59E 5 Bytes JMP 63411BF0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider)
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtSetInformationFile 7C90DC5E 5 Bytes JMP 63411CA0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider)
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtUnloadKey 7C90DECE 5 Bytes JMP 6340E520 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\30\4\32\4-\0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\30\4\32\4-\0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
---- EOF - GMER 1.0.15 ----
|
| iskander-k |
01-03-2011 19:11 1624733 |
Цитата:
Цитата onkolog
C:\WINDOWS\system32\Drivers\uphcleanhlp.sys »
|
Цитата:
UPHClean расшифровывается как Microsoft User Profile Hive Cleanup Service.
Служба UPHClean контролирует компьютер в процессе выгрузки профиля пользователя и закрывает открытые ресурсы. Благодаря этому компьютер может выгрузить, а затем согласовать профили пользователей.
После установки User Profile Hive Cleanup Service прописывается в системе как Process с автоматическим запуском, который занимает 320 кб памяти.
Это означает что ваш комп будет выключаться быстро и качественно.
Эта утилита является родной от компании Microsoft.
И будет работать только на NT-системах.
|
http://www.greatis.com/appdata/a/_/_...eanhlp.sys.htm
Это от комбофикса
Цитата:
Цитата onkolog
C:\ComboFix\catchme.sys »
|
а это от Sysinternals Process Explorer
Цитата:
Цитата onkolog
C:\WINDOWS\system32\Drivers\PROCEXP113.SYS »
|
|
К сожалению, не было времени разбираться с руткитом. Пришлось переустановить систему.
|
Тогда и обсуждать нечего, информации нет, а остальное это гадание на кофейной гущи. Тема закрыта.
|
Время: 17:39.
© OSzone.net 2001-