Запрос на тех информацию по трояну-бекдору butldsk.sys

[konstantinqq]

Так получилось, что касперский фри пропустил такую вещь:

в базе dr web он записан как BackDoor.CoreBot.22

В атрибутах файла указана дата изменения март...  А нашелся в мае....

09.05.2018 10.33.32;Обнаруженный объект (файл) удален;C:\Windows\System32\drivers\butldsk.sys;C:\Windows\System32\drivers\butldsk.sys;HEUR:Trojan.Win32.Adject.gen;Троянская программа;05/09/2018 10:33:32

Вот ссылка на вирустотал
https://www.virustotal.com/ru/file/d7569c0de9278fe527569e14fa399153361598745f42fd4523051c435ee4dea4/analysis/

 

Интересует техническая информация - что собирал, что отправлял... Чтобы знать, мне стоит поменять все пароли? Может быть он еще что то мог стямзить, сканы паспортов например...

Откровенно говоря я не из тех кто меняет пароли по поводу и без повода раз в год )

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[konstantinqq]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

Как его прикрепить? Нужно создавать новую тему?

Написано

 

 

• вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip

 

Нажимаю на мои файлы, там ничего нет... и кнопки загрузить или прикрепить....

Куда его загружать то?

 

А всё, разобрался, нужен расширенный режим сообщения, вот. Спасибо.

CollectionLog-2018.05.09-11.46.zip

Изменено 9 мая, 2018 пользователем konstantinqq

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 DeleteService('windows_udp_dll');

 TerminateProcessByName('c:\programdata\eb7d4119a4\02581f9f8f.exe');

 QuarantineFile('c:\programdata\eb7d4119a4\02581f9f8f.exe','');

 DeleteFile('c:\programdata\eb7d4119a4\02581f9f8f.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

[konstantinqq]

Gmail определил в письме вирус, а Вы не сказали запаролить... Да и не помогло это) Пришлось вдобавок и расширение сменить и перепаковать... Всё есть в письме!

 

 

CollectionLog-2018.05.09-17.19.zip

[mike 1]

 

 

а Вы не сказали запаролить

Пароль на архиве на самом деле был. Просто Гугл умеет частично распаковывать их. 

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[konstantinqq]

О ужас!

Сколько в них персональной информации! Вся жизнь!

И сколько лишнего, что только отвлекает! Но без этого никак, понимаю...

 

А требовалось то, всего лишь узнать, менять пароли или нет...

FRST.txt

Addition.txt

[mike 1]

Сколько в них персональной информации! Вся жизнь!

А вы попробуйте из этого раздела хоть что нибудь скачать из вложений. 

 

А требовалось то, всего лишь узнать, менять пароли или нет...

А как по другому узнать заражен Ваш ПК или нет? Хрустального шара у меня нет. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <==== ATTENTION
2018-04-06 13:08 - 2018-05-09 17:01 - 000000000 ____D C:\Users\Все пользователи\eb7d4119a4
2018-04-06 13:08 - 2018-05-09 17:01 - 000000000 ____D C:\ProgramData\eb7d4119a4
virustotal: C:\ProgramData\AAct.exe
virustotal: C:\Users\Все пользователи\AAct.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

[konstantinqq]

virustotal: C:\Users\Все пользователи\AAct.exe

 

Похоже на первозданный от ratiborus с ruboard... Но он не нужен, удалю через некоторое время.

 

Я представлял, что у вас какая то база, и там уже можно глянуть, поведение того или иного объекта, даже не имея самого файла, по хешу (если обьект был предварительно изучен). А вы значит смотрите, не установлено ли что то еще опасное...

Fixlog.txt

[mike 1]

 

 

А вы значит смотрите, не установлено ли что то еще опасное..

В этом разделе выполняется комплексная проверка на наличие вирусов.

 

 

 

Я представлял, что у вас какая то база, и там уже можно глянуть, поведение того или иного объекта, даже не имея самого файла

Описания зверьков уже давно не пишут, а если и пишут, то обычно разбирают что-то интересное, а не все подряд. 

[konstantinqq]

В любом случае, спасибо!

[konstantinqq]

Не могли бы Вы проконсультировать меня по вопросу работы AVZ?

Лог АВЗ с красными строчками:

Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->72FCC1AA->6D49FBC0
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->72FCC1D9->6D49FF80
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->763326A4->749FDC20
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->763335CB->77A2C800
Функция user32.dll:CallNextHookEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->74588190->6FB3E9B0
Функция user32.dll:SetWindowsHookExW (2386) перехвачена, метод ProcAddressHijack.GetProcAddress ->7458D970->6FB3ED40
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1123) перехвачена, метод ProcAddressHijack.GetProcAddress ->74BEB2AE->749D0720
Функция kernel32.dll:ReadConsoleInputExW (1124) перехвачена, метод ProcAddressHijack.GetProcAddress ->74BEB2E1->749D0750
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (287) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B5EDA0->6FB3EAE0
Функция ntdll.dll:NtSetInformationFile (585) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B5EAC0->6FB3EC40
Функция ntdll.dll:NtSetValueKey (617) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B5EE50->6FB3ECC0
Функция ntdll.dll:ZwCreateFile (1779) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B5EDA0->6FB3EAE0
Функция ntdll.dll:ZwSetInformationFile (2075) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B5EAC0->6FB3EC40
Функция ntdll.dll:ZwSetValueKey (2107) перехвачена, метод ProcAddressHijack.GetProcAddress ->77B5EE50->6FB3ECC0

 

 

Почему AVZ сообщает о "перехватах функций", связано ли это с работой антивируса, компонентами ОС или же это шпионские модули от MS?

Если все в норме, почему тогда шрифт выделен красным? Т.е. нет способа добавить в базу "известные безопасные перехваты функций" ?

 

Вот, на всякий случай свежий отчет созданный автологгером.

Изменено 22 июня, 2018 пользователем konstantinqq

[mike 1]

Почему AVZ сообщает о "перехватах функций", связано ли это с работой антивируса

Поскольку эта утилита диагностическая она будет сообщать о любых попытках перехватов каких-либо функций. Перехваты могут идти от любых программ Windows, включая системные, поэтому подобные записи Вы увидите на любой системе Windows. Это не шпионские модули Microsoft, но перехваты могут идти как от легитимных программ, так и от вредоносных программ. 

 

Если все в норме, почему тогда шрифт выделен красным?

Чтобы акцентировать внимание хелпера на этом. 

 

Т.е. нет способа добавить в базу "известные безопасные перехваты функций" ?

А как Вы классифицируете легитимный это перехват или нет?

[konstantinqq]

Вот, на всякий случай свежий отчет созданный автологгером.

 

Выбрать то выбрал, а нажать "загрузить" забыл )

 

про приложения маил и AdwCleaner:

Решил на всякий случай проверить систему утилиткой AdwCleaner, она кое что нашла...

Игровой центр маил ру приняла за адварь! То ли имидж у них такой, то ли они так программы делают) Но этот центр выступает в роли лончера, и без него кое чего не работает.

 

CollectionLog-2018.06.22-11.25.zip

[mike 1]

Ничего плохого в логах.