Показано с 1 по 13 из 13.

Неизвестный руткит (заявка № 144966)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    12

    Неизвестный руткит

    Получил данный руткит из инфицированного патча к Splinter Cell Blacklist. При запуске система на несколько минут сильно грузилась, только затем появлялась установка патча.
    Был установлен Dr.Web 6, Spider работал, вирусные базы обновлены, но он ничего не обнаружен. Он начал выдавать предупреждения только, когда этот руткит пытался то ли записать файл exe.etadpuelgoog в папку %$LOCAL_APPDATA%\Google\Update... Точно уже не помню, т.к. словил его еще пару недель назад. Вероятно, он еще пытался модифицировать файл hosts, но прав у него на это не было. Казалось бы, я вылечил систему с помощью Malwarebytes и ComboFix (правда потом слетел брандмауэр Windows, пришлось его долго и нудно восстанавливать), но на днях обнаружил, что после нескольких минут бездействия выключаются USB и PS/2 и больше не включаются, помогает только перезагрузка. Обновил Dr.Web до 8 версии, т.к. поддержка 6 уже закончилась, тут я обнаружил, что svchost.exe после загрузки пытается модифицировать файл hosts. Полная проверка Dr.Web'ом, TDSKiller, AVZ, Malwarebytes (mbam и mbar), Stinger и других анти-руткитов толком ничего не выдает.
    Но проверка gmer выдает много подозрительных объектов, еще в настройках восстановления системы почему-то было два диска C.
    Последний раз редактировалось EXEtrimALL; 04.09.2013 в 12:54.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    327
    Уважаемый(ая) EXEtrimALL, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Отключите временно Dr.Web, выгрузите MBAM и MBAR.
    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    12
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Отключите временно Dr.Web, выгрузите MBAM и MBAR.
    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    Забыл сразу упомянуть, через него вчер в первую очередь после Dr.Web прогнал - ничего не найдено.
    Приложил лог:
    Последний раз редактировалось EXEtrimALL; 04.09.2013 в 13:18.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    WBR,
    Vadim

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    12
    Вот еще нашел скриншот того самого файла exe.etadpuelgoog, который обнаружил mbar.
    Сам файл, к сожалению, я уже удалил. Возможно, он снова скоро всплывет в системе, тогда добавлю его сюда.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Цитата Сообщение от EXEtrimALL Посмотреть сообщение
    и ComboFix
    его лог тоже прикрепите и в будещем самостоятельно его не запускайте, после него не только брандмауэр, но и всё остальное слететь может.

    - - - Добавлено - - -

    +
    Цитата Сообщение от EXEtrimALL Посмотреть сообщение
    Получил данный руткит из инфицированного патча к Splinter Cell Blacklist.
    если можно пришлите мне в личку этот файл в архиве с паролем virus

    - - - Добавлено - - -

    +
    1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -qmbr -qboot
    2. Запустите файл fix.bat;
    3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    4. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    12
    Образ автозапуска прикладываю. Как видно, там грузится подозрительный драйвер из папки windows\temp\, каждый раз у него случайное имя.

    - - - Добавлено - - -

    Отправил карантин загрузочных секторов.

    - - - Добавлено - - -

    Цитата Сообщение от regist Посмотреть сообщение
    его лог тоже прикрепите и в будещем самостоятельно его не запускайте, после него не только брандмауэр, но и всё остальное слететь может.
    Старые логи я уже удалил, а запускать заново я не решаюсь, все равно в рошлый раз он не вылечил все до конца, зато 2 дня я восстанавливал брандмауэр.

    Цитата Сообщение от regist Посмотреть сообщение
    если можно пришлите мне в личку этот файл в архиве с паролем virus
    Файл 1,7 Гб и, к сожалению, у меня его уже не созранилось - удалил его сразу, как понял, что он заражен. Из источника его тоже удалили, т.к. я сообщил туда, что файл заражен.

    Цитата Сообщение от regist Посмотреть сообщение
    1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -qmbr -qboot
    2. Запустите файл fix.bat;
    3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    4. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    Отправил карантин загрузочных секторов.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Я плохого не вижу...
    WBR,
    Vadim

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    12
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Я плохого не вижу...
    Но где-то что-то сидит: Безымянный.png
    Я попробовал разрешить модифицировать hosts, но он не поменялся.

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    04.09.2013
    Сообщений
    6
    Вес репутации
    12
    Смог отловить тот драйвер, который загружается под рандомными именами в папке system32\temp и исчезает сразу после запуска. Он же пытается модифицировать hosts, судя по всему. Это оказался dwshield64.sys (под другим именем).
    На всякий случай прикладываю, хотя у файла, вроде бы, есть цифровая подпись. Странно почему сам доктор веб спрашивает разрешения ан загрузку этого драйвер и зачем он пытается модифицировать hosts.
    Кстати, на этом компьютера позевчера умер биос, хотя и комп был за ибп (со стабилизатором) - не понятна причина. Несколькими днями ранее то же самое произошло на втором компе, который находится в общей локалке, но там был Dual Bios, который мигом все восстановил (второй комп тоже за ибп). Совсем какая-то чертовщина творится.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Поздравляю, вы отловили драйвер от Dr.Web Shield
    Ещё проблемы есть?
    WBR,
    Vadim

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) EXEtrimALL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. неизвестный вирус/руткит
      От zod1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.12.2010, 00:18
    2. Неизвестный руткит Win32.Rootkit.Agent.NSY
      От Obsidian в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.04.2010, 13:53
    3. Неизвестный руткит (не могу избавиться)
      От a.gurov@mail.ru в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.10.2009, 22:56
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Неизвестный руткит???
      От Voland в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 02.04.2007, 21:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00041 seconds with 23 queries