Підозра на руткит (заявка № 178061)

Підозра на руткит?

Доброго вам дня!

Десь місяць тому комп'ютер якось дивно вийшов із сплячого режиму (НЕ глибокого сну): при завантаженні екран раптом погасло, а диск продовжував інтенсивно працювати. Я, від гріха подалі, вимкнув кнопкою. Після цього перевірив, і виявив дивні зміни, про які нижче. Не факт, звичайно, що вони з'явилися саме в цей момент, можливо і раніше.

Перевірка AVZ знайшла такі підозрілі моменти:

Function NtMapViewOfSection (A8) intercepted (8384872F-> 91B2A490), hook C: \ Windows \ system32 \ drivers \ aswSP.sys
>>> Function restored successfully!
>>> Hook code blocked
Function NtModifyBootEntry (A9) intercepted (839073D8-> 91A57B98), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
Function NtNotifyChangeKey (AC) intercepted (837FBE5F-> 91A5CFE0), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
Function NtNotifyChangeMultipleKeys (AD) intercepted (837FAF81-> 91A59EDC), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
Function NtOpenEvent (B1) intercepted (83811DF4-> 91A646CA), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
Function NtOpenEventPair (B2) intercepted (8390CFD5-> 91A6470E), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
.
Function NtQueryObject (F8) intercepted (83802F57-> 91A59CF4), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
.
Function NtQueueApcThreadEx (10E) intercepted (837F9EAF-> 91A59A02), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
.
Function NtQueueApcThreadEx (10E) intercepted (837F9EAF-> 91A59A02), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked
.
Function NtShutdownSystem (168) intercepted (83905419-> 91A57918), hook C: \ Windows \ system32 \ drivers \ aswSnx.sys
>>> Function restored successfully!
>>> Hook code blocked


з одного боку - це, начебто, звичайний AVAST, але підозріло, що інші його перехоплення йдуть з міткою driver recognized as trusted - а ці ні.

2)
Function MmGetPhysicalAddress (8366F86F) - machine code modification Method not defined.
>>> Function restored successfully!
Function MmMapIoSpace (8366FD9B) - machine code modification Method not defined.
>>> Function restored successfully!


цього, схоже, раніше не було (в профайлі є старі версії, оцінені як здорові)

Attention. Restored 84 KiST functions during Anti-Rootkit operation

от раніше там було 81 - звідки взялося ще 3.

Це все записи з останнього балки (додаю). На жаль, прописані в Інструкції дії зі скриптами вдалося виконати тільки частково, оскільки найголовніший скрипт перевірки звалюється (див. Малюнок) при перевірці диска - мабуть, коли натикався на сховище антивіруса? Решта по мірі можливості додаю.

Ще, запустив скрипт з виявлення вразливостей, як тут радили. Виявив три уразливості, успішно закрив патчами, як рекомендувалося в результатах скрипта. На роутере, як з'ясувалося, за замовчуванням не був включений SPI

Заранее спасибо за совет!

C: \ Windows \ system32 \ drivers \ aswSnx.sys - це драйвер Avast.

я в курсі. Питання - чому він не розпізнається як довірений (як в інших рядках)? Чи не підміна це, бува?

я ж написав вище, що чесно намагався. Але ось з цим пунктом вийшла проблема

Запустіть AVZ *. Відкрийте в меню "Файл" => "Стандартні скрипти" і відзначте пункт №3 "Скрипт лікування / карантину та збору інформації для розділу" Допоможіть! "Virusinfo.info" ( "Advanced System Analysis with malware removal mode enabled"). Натисніть "Виконати зазначені скрипти" ( "Execute selected scripts"). Буде виконано автоматичне сканування, лікування та дослідження системи, отриманий лог буде збережено в директорії AVZ в папці LOG в архіві virusinfo_syscure.zip.

По-друге, як я вже написав в описі, скрипт в процесі виконання звалюється. Завжди на одному і тому ж місці, картинка прикладена. Антивірус відключений, але, тим не менш.

Дякуємо! Обклався захистом після злому, коли в результаті довелося все заново. Якщо дозволите, декілька уточнень:

1) Malwarebytes Anti-Malware - можна, звичайно, перевстановити, але простіше відключити захист в реальному часі. Цього достатньо?

2) Spybot - Search Destroy мені колись порадила тех.підтримка AVAST. Якщо він не шкодить, то я б скоріше залишив.

3) рекомендований Вами UVS можна використовувати як сканер на майбутнє?

4) все ж, від гріха подалі: Function MmGetPhysicalAddress (8366F86F) - machine code modification Method not defined.
>>> Function restored successfully!
Function MmMapIoSpace (8366FD9B) - machine code modification Method not defined.
>>> Function restored successfully!

це так повинно бути? Я звернувся за допомогою до вашого сайту оскільки судячи по Гуглу, схожі записи ідентифікувалися як сліди руткітів, але саме такий я не знайти не зміг.

1) Цілком, але постійно MBAM просто не потрібен.

2) Чи залишуся при своїй думці, вирішувати - Вам.

3) Це не сканер, це інструмент приблизно того ж рівня і функціоналу, що і AVZ. Вбити систему обома цими програмами дуже просто, використовуйте їх під контролем і за рекомендаціями хелперів.

4) Так, нормально, особливо при наявності антивіруса.