В общем воюю с этим руткитом уже двое суток.
Всё началось с незагруженного Spidera доктора-веба, зоопарк всякой мелочи антивирусный монитор вылечил, но спайдер так и не запускается (доступ запрещён, ошибка 5).
Проверка винта на другом комьютере дрвебом с обновлёнными дала только Trojan.PWS.Panda и то в temprorary intenret files и всё.
Cureit ничего не находит, как и аналог от Касперского.
RkUnhocker запускается с ошибкой "02 error loading data file"
Логи приложил, только изучение системы велось без интернета. компьютер не мой, и в офисную локалку подключать его не хочу на всякий случай :-)
Последний раз редактировалось nevzorofff; 11.08.2009 в 14:55.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Файл с карантином не изменился, и форма загрузки сказала, что данный файл уже был загружен, когда я пытался загрузить его ещё раз.
Удалил его, выполнил скрипт ещё раз, но, видимо, того файла уже нету, в папке с логами пусто.
Последний раз редактировалось Rene-gad; 12.08.2009 в 12:02.
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryExW (583) перехвачена, метод APICodeHijack.JmpTo[600D22FD]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (621) перехвачена, метод APICodeHijack.JmpTo[600D1541]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Spider Guard и Spider Gate отключал перед проверкой. Это могут быть перехваты не-руткитов?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: