Показано с 1 по 6 из 6.

Rootkit -помогите кто может! (заявка № 13305)

  1. #1
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    4
    Вес репутации
    61

    Rootkit -помогите кто может!

    Я думаю моя предыдущая тема затерялась, поэтому обращаюсь к Вам за помощью еще раз. ВОТ МОЯ ПРОБЛЕМА: РУТКИТ!


    Особенности его работы в Интернете собранны по данным Agnitum Outpost Security Suite Pro 2007(5.0.1252.7915.619).

    Обозначается этот процесс как «недоступно» (n/a).
    Т.е. внести его в список неразрешенный приложений, блокировать или просто разорвать соединение нельзя. Может пытаться пробиться в Интернет одновременно как более одиннадцати процессов.
    Руткит использует десятки сотен портов, пытается пробиться через порты других интернет приложений, иногда от ее имени (при этом не нарушая ее работы).
    Руткит использует протоколы TCP,UDP, IPIIP,EGP,SKIP,TMuX, ICMPv6 (немного обновившись), пытается установить ICMP соединение, посылает широковещательные пакеты NetBIOS, использует IGMP атаку, хотел использовать RAWSOCKET (!) и т.п. Иногда отображается как SYSTEM.
    Пытается принять транзитные пакеты.
    Обновляясь, способен «звонить» в Интернет (как dialer), может скачивать червей, шпионов и вирусоподобные программы, способен модифицировать Svchost и т.п. Но основные усилия направлены на собственное укоренение в системе.
    Руткит «присоединяется» при копировании ЛЮБЫХ данных на ЛЮБЫЕ носители информации.

    (Руткит вчера в час дня ГРОХНУЛ комп моему соседу прямо в интернете -машина вырубилась и больше не включалась: только материнка пищит. А ведь у него Kaspersky Internet Security 7.0!)

    Дополнительная информация по данным программ AVZ 4.27, GMER 1.0.13 и RootkitUnhooker 3.7.300.509.

    1. AVZ видит (сервис «модули пространства ядра») адрес руткита в системе: F7473000. Этот адрес постоянный (т.е. после перезагрузки компьютера не изменяется), копировать в карантин нельзя, но можно снять дамп памяти. Его размер 98304 байт. При поиске руткитов,например, пишет:
    Функция NtCreateProcess (2F) перехвачена (805B3543->8A26D44, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован

    2. GMER раньше обнаруживал руткит как группу (до пяти) спрятанных модулей. Сейчас видит его как "нормальный" модуль. При попытку выгрузки BSOD.

    3. RkU делает откат изменений «unknown module filename» в SSDT, в Shadow SSDT, в ATI и IDT таблицах (Hooked codes).
    В драйверах значится «пустой драйвер» -никакой информации о нем в таблице нет (кроме известного адреса и размера). Есть также и 37 «левых» драйверов. Имя и место загрузки – «unknown_irp_handler». По его данным размер драйверов от 512 до 4064 байт. Уничтожить не может.

    Помогите! Кто что знает, кто сталкивался или у кого есть идеи по этому поводу пишите на [email protected]. [Я не панк и никакого отношения к отморозкам не имею.]

    Не хочет отправлять мои логи! Надеюсь, передам в следующем.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    4
    Вес репутации
    61

    Логи.

    Вот, наконец то логи.
    Вложения Вложения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\GZNWXBI.exe','');
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('b:\dialer\edialer.exe','');
     QuarantineFile('C:\Program Files\Common Files\Teknum Systems\update.exe','');
     DeleteFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\GZNWXBI.exe');
     BC_DeleteFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\UXCIXA.exe');
     BC_DeleteSvc('GZNWXBI');
     BC_DeleteSvc('UXCIXA');
    ExecuteSysClean;
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13305
    и снова прикрепите файл virusinfo_syscure.zip,ибо возникли проблемы с его скачиванием.

  5. #4
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    4
    Вес репутации
    61
    Спасибо, что согласились помочь!
    Если что, зовите меня Ярослав - а то с торопя написаль первое, что в голову пришло.
    Файл sys_cure повторно не отправляется - пишет, что такой файл уже есть. Переименовывать безполезно. Но я попробовал загрузить свой лог -все удачно.

    Добавлено через 4 минуты

    Карантин не хочет отправлятся тоже. Поишет, что не та ссылка на тему, и ссылк должна иметь вид .....php?t=.., а ссылка этой темы php?s=.
    Может, я что-то не так делаю?
    Последний раз редактировалось ___; 19.10.2007 в 20:02. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    4
    Вес репутации
    61
    Вы че, уснули?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Карантин не хочет отправлятся тоже. Поишет, что не та ссылка на тему, и ссылк должна иметь вид .....php?t=.., а ссылка этой темы php?s=.
    Может, я что-то не так делаю?
    Да, не так, вам уже Muzzle дал ссылку на форму, через которую карантин загружать:
    http://virusinfo.info/upload_virus.php?tid=13305
    Вы че, уснули?
    Уснули, проснулись и скоро снова спать пойдем, все никак не дождёмся того, что у вас просили.

  • Уважаемый(ая) ___, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 03.08.2011, 06:00
    2. Помогите кто чем может
      От митрофан в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.10.2010, 10:57
    3. Ответов: 27
      Последнее сообщение: 15.07.2009, 23:06
    4. AVZ ругается на sptd.sys, может RootKit
      От EgorovEgor в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:56
    5. Может вирус, а может руки кривые. Помогите
      От Badhisatva в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.06.2007, 22:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00566 seconds with 18 queries