Троян в mute2x.dll

Если Вы еще не решили приобрести АСТЕР или у Вас есть вопросы, замечания или предложения по оформлению и функциям программы - обращайтесь в этот форум.

Модератор: AsterMaster

Михаил У

Троян в mute2x.dll

Сообщение Михаил У » Чт окт 01, 2009 0:18

Доброго времени суток!
Почти год пользовался расширением без проблем, всё было отлично. Недавно началась агония компа - на лицо все признаки присутствия руткита. После проверок разными средствами был удален руткит и куча разных троянов, вроде комп задышал легче, но... Признаки деятельности руткита остались.
AVZ показал вот такой отчет:
Функция NtCreateDirectoryObject (22) перехвачена (805BCD6C->F71B3043), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtCreateEvent (23) перехвачена (8060CDCC->F71B2EA1), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtCreateFile (25) перехвачена (80577E64->F71A9D0A), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtCreateKey (29) перехвачена (8062209E->F71B3C08), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtCreateMutant (2B) перехвачена (806154E2->F71B3139), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtCreateNamedPipeFile (2C) перехвачена (80577E9E->F71B2042), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtCreatePort (2E) перехвачена (805A3B14->F71B346C), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C35EC->F71B3235), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtDeleteValueKey (41) перехвачена (806226FE->F71B3B76), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtDeviceIoControlFile (42) перехвачена (8057802A->F71B294C), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtFsControlFile (54) перехвачена (8057805E->F71B2323), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtImpersonateClientOfPort (5A) перехвачена (805A3BA2->F71A6655), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtLockVirtualMemory (67) перехвачена (805B52DA->F71A73EE), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtOpenFile (74) перехвачена (80578F62->F71A9E42), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtOpenKey (77) перехвачена (80623434->F71B3CBD), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtPowerInformation (85) перехвачена (805C7D40->F71B08EE), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtProtectVirtualMemory (89) перехвачена (805B6DA6->F71A73D1), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtQueryAttributesFile (8B) перехвачена (80575CF6->F71B4DCA), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtQueryInformationProcess (9A) перехвачена (805CB7D4->F71B4BA9), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtQueryInformationToken (9C) перехвачена (805EC072->F71B4C4B), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtQueryValueKey (B1) перехвачена (80620158->F71B39E8), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtReplyWaitReceivePort (C3) перехвачена (805A4EDC->F71A65E7), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtRequestWaitReplyPort (C8) перехвачена (805A179E->F71A652E), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtSetDefaultHardErrorPort (D7) перехвачена (80612B60->F71B4B01), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtSetInformationProcess (E4) перехвачена (805CC6CA->F71B498C), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtSetSystemInformation (F0) перехвачена (8060DB84->F71B4828), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtSetValueKey (F7) перехвачена (8062075E->F71B3ACC), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtUnlockVirtualMemory (10A) перехвачена (805B5868->F71A740B), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtUnmapViewOfSection (10B) перехвачена (805B17E0->F71A731C), перехватчик C:\WINDOWS\system32\mute2x.sys
Функция NtWaitForSingleObject (10F) перехвачена (805BEF36->F71B4E9E), перехватчик C:\WINDOWS\system32\mute2x.sys
Дата записи файлов mute2x.sys и mute2x.dll изменяется с каждым запуском системы. Проверил их на сервисе http://www.virustotal.com/ru/ , mute2x.sys был признан чистым, а в mute2x.dll 12 антивирусов из 40 нашли троян Worm.Stration или Trojan.Agent.ATV. Однако, ведь случается, антивирусы поднимают ложную тревогу.

Вопрос - так и должно быть, или АСТЕР всё-таки был заражен?
Версия 2.3.0455.

Аватара пользователя
AsterMaster
ИБИК
Сообщения: 2222
Зарегистрирован: Сб фев 05, 2005 0:48
Откуда: Москва
Контактная информация:

Сообщение AsterMaster » Пт окт 02, 2009 15:30

Функции перехвачены правильно. Это способ управления системой, который используется в существующих версиях АСТЕР. А если меняется дата записи, тогда, вероятно, что-то действительно цепляется к этим файлам. Сам АСТЕР в свои файлы ничего не пишет.

А "вирусы" в mute32 обнаруживаются всегда почему-то, даже если отправить файл на проверку сразу после компиляции.

Гость

Сообщение Гость » Пт окт 02, 2009 21:59

А "вирусы" в mute32 обнаруживаются всегда почему-то, даже если отправить файл на проверку сразу после компиляции.
Звучит забавно, будто не хотели вирус написать, но не смогли себя пересилить и написали... :lol:
Сори за оффтоп

Михаил У

Сообщение Михаил У » Сб окт 03, 2009 23:49

Извиняюсь, ошибка вышла. Эти файлы имеют правильную дату создания. Но возник другой вопрос. В папке C:\WINDOWS\Installer\{5971FA39-5EC8-4405-8B60-981171532CBF} есть 12 файлов exe с ярлыками АСТЕРа, выглядит это вот так:
Изображение
Все эти программы - под DOS, некоторые из них обнаружились в автозагрузке. Они имеют отношение к АСТЕРу ?

Аватара пользователя
AsterMaster
ИБИК
Сообщения: 2222
Зарегистрирован: Сб фев 05, 2005 0:48
Откуда: Москва
Контактная информация:

Сообщение AsterMaster » Пн окт 05, 2009 11:45

Эти файлы создает Windows Installer в процессе установки. Не знаю их точного назначения, знаю только, что они связаны с ярлыками в меню Пуск, и удалять их не следует. Подобные exe-файлы можно найти и в других каталогах внутри WINDOWS\Installer. Правда, в автозагрузке их быть не должно.

Сергей_Б

Symantek обнаружил Trojan.Gen в mute32.dll

Сообщение Сергей_Б » Ср май 12, 2010 15:30

Symantek обнаружил Trojan.Gen в mute32.dll

версия АСТЕРа Версия 2.3.0455.
Обновил до 456PE, но тот же результат.


Все пути и файлы АСТЕРа указал в симантике как надежные (занес в исключения), но ПОсле двух-трех перезагрузок компьютера Симантик все же блокирует работу АСТЕРа и он прекращает работать, просит переустановить АСТЕР.
Переустанавливал и обновлял раз пять......
....еще симантик блокирует и mute32.d_ .......

Симантик корпаративный и заменить его нельзя

Как быть?

Аватара пользователя
AsterMaster
ИБИК
Сообщения: 2222
Зарегистрирован: Сб фев 05, 2005 0:48
Откуда: Москва
Контактная информация:

Сообщение AsterMaster » Пт май 14, 2010 10:14

Ваши предложения какие? Проблему в данном случае создает антивирус, несмотря на всю его солидность. В программе, загруженной с нашего сайта, вирусов нет.

Павел

Сообщение Павел » Сб май 15, 2010 12:54

Да, Нортон антивирус действительно находит троян в системе Астер.
Решил просто: при первом запуске антивирус отключил. Далее он ничего не находит.

Ответить

Кто сейчас на конференции

Сейчас этот форум просматривают: admin и 46 гостей