Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

ROOTKIТ: не запускается диспетчер задач! (заявка № 13899)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34

    Thumbs up ROOTKIТ: не запускается диспетчер задач!

    Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34

    Готово

    Вложение
    Последний раз редактировалось Alcur; 10.06.2008 в 15:50.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\codeblocks.exe,
    O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\bho.dll (file missing)
    O4 - HKLM\..\Run: [System32] C:\WINDOWS\system32\frmwrk.exe
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\windll32.exe internet.dll,LoadNetworkProfile
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe
    I am not young enough to know everything...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\bho.dll','');
     QuarantineFile('C:\WINDOWS\system32\windll32.exe','');
     QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
     QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
     QuarantineFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\frmwrk.exe','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     DeleteFile('C:\WINDOWS\system32\frmwrk.exe');
     DeleteFile('C:\WINDOWS\system32\windll32.exe');
     DeleteFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');     
     DeleteFile('C:\WINDOWS\system32\bho.dll');
     BC_ImportAll;
     BC_DeleteSvc('FCI') ;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пришлите карантин и повторите логи

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Как описано в приложении 3 Правил

  7. #6
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34
    Карантин есть?

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Карантин есть, но там ничего интересного.
    Сделайте в AVZ: Файл - Восстановление системы - отметить п.5, 6, 8, 11 - Выполнить. И давайте новые логи.
    I am not young enough to know everything...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\ApprenticeServer\AssemblyTree\Assembl y Tree.exe
    C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\Inventor\iPart\UpdateiPartMem.exe

    Только они попали в карантин, вроде чистые... повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34
    Так. я щас отправляю логи по запросу Рубина в 16.30.
    После этого делать восстановление 56811 и новые логи по запросу Братца?
    Простите пожалуйста - не могу понять чьи указания делать... Да и логи долго делаются- вы успеваете еще попросить...Глаза разбегаются!
    Последний раз редактировалось Alcur; 10.06.2008 в 15:50.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Надо было все действия сделать, потом логи
    Ну да ладно. Сделайте восстановление, как я писал, и сообщите, есть ли положительный эффект.
    I am not young enough to know everything...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    По последним присланным Вами логам...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Consistent Software\NormaCS 1.0\pph.dll','');
     BC_ImportQuarantineList;
     BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_QrSvc('FCI');
     BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.

  13. #12
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34
    Положительный эффект после восстановления ЕСТЬ! Дисп заработал, но только нас фоном проблемы -картинку выбрать дает,(раньше всё было неактивно), но на рабочем столе пусто. А этот руткит СЕЙЧАС не отсылает ли мои скриншоты и др. инфу в инет? Я этого боюсь и пароли жалко.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    После выполнения последнего скрипта пришлите пожалуйста карантин.

  15. #14
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34
    Сейчас лог делается. Пришлю карантин одновременно с логами

  16. #15
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34

    Логи3

    После скрипта.Каринтин послала
    меня уже с работы выгоняют. Можно ли завтра продолжить? Спасибо
    Последний раз редактировалось Alcur; 10.06.2008 в 15:50.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    .AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    В логах ничего зловредного не просматривается.
    Что из этого вам нужно?остальное поправим
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  18. #17
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34
    Добрый День!
    Мне надо, чтобы всё работало. Я могу эти службы запускать "вручную", если понадобится. Это поможет? ПК в ЛВС.

    Добавлено через 39 минут

    RemoteRegistry (Удаленный реестр) выкл, вручную
    TermService (Службы терминалов) работает(не выключается вообще -неактивно), отключено
    SSDPSRV (Служба обнаружения SSDP) раб, вручн.
    Messenger (Служба сообщений) работает, авто.
    Schedule (Планировщик заданий) раб, вручн.
    mnmsrvc (NetMeeting Remote Desktop Sharing) откл, вручную,
    RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) откл, вручную,
    В таком состоянии сейчас у меня службы. Что неверно(если есть?).
    И еще вопрос, Как узнать, отсылает ли руткит данные ?

    Добавлено через 2 часа 20 минут

    И еще вопрос, Как узнать, отсылает ли руткит данные ?
    Последний раз редактировалось Alcur; 07.11.2007 в 12:41. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Руткита уже нет, ничего отсылаться не должно.

  20. #19
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    34
    только сейчас заметила!!! В моем компьютере появилась папка Веб-папки/мои узлы сети МСН, просит пароль и логин. Вчера этого г.. не было!!!!!Что это такое?

    Добавлено через 1 минуту

    Посоветуйте файервол попроще и что-нибудь для учета своего трафика, пожалуйста.

    И еще. Нужно ли мне включить восстановление системы обратно?

    заранее спасибо!
    Последний раз редактировалось Alcur; 07.11.2007 в 13:02. Причина: Добавлено

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Учет траффика - TrafficMeter
    Фаерволлы - ZoneAlarm, Agnitum Outpost или комплексные решения - антивирус + фаерволл (например KIS 7.0)

  • Уважаемый(ая) Alcur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не запускается диспетчер задач
      От Alex_kaa в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.07.2011, 00:46
    2. Не запускается диспетчер задач
      От oman1971 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.01.2011, 23:26
    3. Не запускается диспетчер задач
      От anedro в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.09.2010, 09:53
    4. Ответов: 6
      Последнее сообщение: 09.09.2010, 00:04
    5. Не запускается Диспетчер задач
      От kycher в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.01.2010, 18:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00696 seconds with 21 queries