Я думаю моя предыдущая тема затерялась, поэтому обращаюсь к Вам за помощью еще раз. ВОТ МОЯ ПРОБЛЕМА: РУТКИТ!
Особенности его работы в Интернете собранны по данным Agnitum Outpost Security Suite Pro 2007(5.0.1252.7915.619).
Обозначается этот процесс как «недоступно» (n/a).
Т.е. внести его в список неразрешенный приложений, блокировать или просто разорвать соединение нельзя. Может пытаться пробиться в Интернет одновременно как более одиннадцати процессов.
Руткит использует десятки сотен портов, пытается пробиться через порты других интернет приложений, иногда от ее имени (при этом не нарушая ее работы).
Руткит использует протоколы TCP,UDP, IPIIP,EGP,SKIP,TMuX, ICMPv6 (немного обновившись), пытается установить ICMP соединение, посылает широковещательные пакеты NetBIOS, использует IGMP атаку, хотел использовать RAWSOCKET (!) и т.п. Иногда отображается как SYSTEM.
Пытается принять транзитные пакеты.
Обновляясь, способен «звонить» в Интернет (как dialer), может скачивать червей, шпионов и вирусоподобные программы, способен модифицировать Svchost и т.п. Но основные усилия направлены на собственное укоренение в системе.
Руткит «присоединяется» при копировании ЛЮБЫХ данных на ЛЮБЫЕ носители информации.
(Руткит вчера в час дня ГРОХНУЛ комп моему соседу прямо в интернете -машина вырубилась и больше не включалась: только материнка пищит. А ведь у него Kaspersky Internet Security 7.0!)
Дополнительная информация по данным программ AVZ 4.27, GMER 1.0.13 и RootkitUnhooker 3.7.300.509.
1. AVZ видит (сервис «модули пространства ядра») адрес руткита в системе: F7473000. Этот адрес постоянный (т.е. после перезагрузки компьютера не изменяется), копировать в карантин нельзя, но можно снять дамп памяти. Его размер 98304 байт. При поиске руткитов,например, пишет:
Функция NtCreateProcess (2F) перехвачена (805B3543->8A26D44, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
2. GMER раньше обнаруживал руткит как группу (до пяти) спрятанных модулей. Сейчас видит его как "нормальный" модуль. При попытку выгрузки BSOD.
3. RkU делает откат изменений «unknown module filename» в SSDT, в Shadow SSDT, в ATI и IDT таблицах (Hooked codes).
В драйверах значится «пустой драйвер» -никакой информации о нем в таблице нет (кроме известного адреса и размера). Есть также и 37 «левых» драйверов. Имя и место загрузки – «unknown_irp_handler». По его данным размер драйверов от 512 до 4064 байт. Уничтожить не может.
Помогите! Кто что знает, кто сталкивался или у кого есть идеи по этому поводу пишите на [email protected]. [Я не панк и никакого отношения к отморозкам не имею.]
Не хочет отправлять мои логи! Надеюсь, передам в следующем.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13305
и снова прикрепите файл virusinfo_syscure.zip,ибо возникли проблемы с его скачиванием.
Спасибо, что согласились помочь!
Если что, зовите меня Ярослав - а то с торопя написаль первое, что в голову пришло.
Файл sys_cure повторно не отправляется - пишет, что такой файл уже есть. Переименовывать безполезно. Но я попробовал загрузить свой лог -все удачно.
Добавлено через 4 минуты
Карантин не хочет отправлятся тоже. Поишет, что не та ссылка на тему, и ссылк должна иметь вид .....php?t=.., а ссылка этой темы php?s=.
Может, я что-то не так делаю?
Последний раз редактировалось ___; 19.10.2007 в 20:02.
Причина: Добавлено
Карантин не хочет отправлятся тоже. Поишет, что не та ссылка на тему, и ссылк должна иметь вид .....php?t=.., а ссылка этой темы php?s=.
Может, я что-то не так делаю?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: