Показано с 1 по 13 из 13.

Неизвестный руткит (заявка № 144966)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    39

    Неизвестный руткит

    Получил данный руткит из инфицированного патча к Splinter Cell Blacklist. При запуске система на несколько минут сильно грузилась, только затем появлялась установка патча.
    Был установлен Dr.Web 6, Spider работал, вирусные базы обновлены, но он ничего не обнаружен. Он начал выдавать предупреждения только, когда этот руткит пытался то ли записать файл exe.etadpuelgoog в папку %$LOCAL_APPDATA%\Google\Update... Точно уже не помню, т.к. словил его еще пару недель назад. Вероятно, он еще пытался модифицировать файл hosts, но прав у него на это не было. Казалось бы, я вылечил систему с помощью Malwarebytes и ComboFix (правда потом слетел брандмауэр Windows, пришлось его долго и нудно восстанавливать), но на днях обнаружил, что после нескольких минут бездействия выключаются USB и PS/2 и больше не включаются, помогает только перезагрузка. Обновил Dr.Web до 8 версии, т.к. поддержка 6 уже закончилась, тут я обнаружил, что svchost.exe после загрузки пытается модифицировать файл hosts. Полная проверка Dr.Web'ом, TDSKiller, AVZ, Malwarebytes (mbam и mbar), Stinger и других анти-руткитов толком ничего не выдает.
    Но проверка gmer выдает много подозрительных объектов, еще в настройках восстановления системы почему-то было два диска C.
    Последний раз редактировалось EXEtrimALL; 04.09.2013 в 12:54.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) EXEtrimALL, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Отключите временно Dr.Web, выгрузите MBAM и MBAR.
    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    39
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Отключите временно Dr.Web, выгрузите MBAM и MBAR.
    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    Забыл сразу упомянуть, через него вчер в первую очередь после Dr.Web прогнал - ничего не найдено.
    Приложил лог:
    Последний раз редактировалось EXEtrimALL; 04.09.2013 в 13:18.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    WBR,
    Vadim

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    39
    Вот еще нашел скриншот того самого файла exe.etadpuelgoog, который обнаружил mbar.
    Сам файл, к сожалению, я уже удалил. Возможно, он снова скоро всплывет в системе, тогда добавлю его сюда.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от EXEtrimALL Посмотреть сообщение
    и ComboFix
    его лог тоже прикрепите и в будещем самостоятельно его не запускайте, после него не только брандмауэр, но и всё остальное слететь может.

    - - - Добавлено - - -

    +
    Цитата Сообщение от EXEtrimALL Посмотреть сообщение
    Получил данный руткит из инфицированного патча к Splinter Cell Blacklist.
    если можно пришлите мне в личку этот файл в архиве с паролем virus

    - - - Добавлено - - -

    +
    1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -qmbr -qboot
    2. Запустите файл fix.bat;
    3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    4. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    39
    Образ автозапуска прикладываю. Как видно, там грузится подозрительный драйвер из папки windows\temp\, каждый раз у него случайное имя.

    - - - Добавлено - - -

    Отправил карантин загрузочных секторов.

    - - - Добавлено - - -

    Цитата Сообщение от regist Посмотреть сообщение
    его лог тоже прикрепите и в будещем самостоятельно его не запускайте, после него не только брандмауэр, но и всё остальное слететь может.
    Старые логи я уже удалил, а запускать заново я не решаюсь, все равно в рошлый раз он не вылечил все до конца, зато 2 дня я восстанавливал брандмауэр.

    Цитата Сообщение от regist Посмотреть сообщение
    если можно пришлите мне в личку этот файл в архиве с паролем virus
    Файл 1,7 Гб и, к сожалению, у меня его уже не созранилось - удалил его сразу, как понял, что он заражен. Из источника его тоже удалили, т.к. я сообщил туда, что файл заражен.

    Цитата Сообщение от regist Посмотреть сообщение
    1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -qmbr -qboot
    2. Запустите файл fix.bat;
    3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    4. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    Отправил карантин загрузочных секторов.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Я плохого не вижу...
    WBR,
    Vadim

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    39
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Я плохого не вижу...
    Но где-то что-то сидит: Безымянный.png
    Я попробовал разрешить модифицировать hosts, но он не поменялся.

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    39
    Смог отловить тот драйвер, который загружается под рандомными именами в папке system32\temp и исчезает сразу после запуска. Он же пытается модифицировать hosts, судя по всему. Это оказался dwshield64.sys (под другим именем).
    На всякий случай прикладываю, хотя у файла, вроде бы, есть цифровая подпись. Странно почему сам доктор веб спрашивает разрешения ан загрузку этого драйвер и зачем он пытается модифицировать hosts.
    Кстати, на этом компьютера позевчера умер биос, хотя и комп был за ибп (со стабилизатором) - не понятна причина. Несколькими днями ранее то же самое произошло на втором компе, который находится в общей локалке, но там был Dual Bios, который мигом все восстановил (второй комп тоже за ибп). Совсем какая-то чертовщина творится.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Поздравляю, вы отловили драйвер от Dr.Web Shield
    Ещё проблемы есть?
    WBR,
    Vadim

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) EXEtrimALL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. неизвестный вирус/руткит
      От zod1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.12.2010, 00:18
    2. Неизвестный руткит Win32.Rootkit.Agent.NSY
      От Obsidian в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.04.2010, 13:53
    3. Ответов: 11
      Последнее сообщение: 03.10.2009, 22:56
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Неизвестный руткит???
      От Voland в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 02.04.2007, 21:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00312 seconds with 20 queries