Показано с 1 по 11 из 11.

Помогите поймать руткит (наверное руткит). (заявка № 18233)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59

    Question Помогите поймать руткит (наверное руткит).

    Приветствую.
    Давеча принесли одну завирусованную по самые гладны машинку (для инфы - там стоял корпоративный симантек ver10.1.5000, регулярно обновляемый. Но у пользователя - права админа ). Ок.
    Проверял следующим (Сначала, ессно подключил винт из этой машины к чистому ПК. После глобальной внешней зачистки продолжил в Safe Mode,и только потом уже из под нормально загруженной винды ). На ПК установлена XP SP2 Rus + все патчи про какие Windows Update знает.
    1.KAV 6 - с последними базами
    2.Dr.Web 4.44 с последними базами
    3. AVZ с последними базами.
    4. AVG Antirootkit (последний)
    5. unhackMe 4.5 Rus
    6. Gmer 1.014
    7. RootkitRevealer
    8. RootKit UnHooker LE 3.7
    Гуана всякого было вычищенно безмерно. Каталог System Restore ессно грохнул в первую же очередь. Но, imho, один зверёк остался. По симптомам. Ставлю галку в свойствах папки - Показывать скрытые файлы и папки -ОК, а оно само назад возвращается в Положение Скрывать скрытые папки и файлы.

    Работаю, ессно, из под локального админа. Шаблон setup secure применил.

    Комп - однозначно уйдёт под формат, но очень хочется зверушку поймать
    Лог AVZ прилогаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MKCIPCLMXZMCRK.exe','');
     QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HAXMQ.exe',''); 
     ExecuteRepair(6);
     ExecuteRepair(8);    
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл - Восстановление системы - п.6 и 8 пробовали?

    Добавлено через 1 минуту

    Опоздал. В скрипте V_Bond'a оно есть
    Последний раз редактировалось Bratez; 18.02.2008 в 15:26. Причина: Добавлено
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    Вроде как отправил...Но что-то под конец подвисло. Дошло?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Нет. Должно быть сообщение, что файл успешно загружен, попробуйте еще раз.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    Залил.
    Только того...Я нечаянно ( ) заборол (вроде) таки руткит. Глядя на конфиг скрипта, пришла светлая мыль - зачистить каталог C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
    Зачистил.
    После перезагрузки - галка Показывать скрытые файлы и папки не слетает и всё показывается
    Но не ясно какой файл был руткитом/трояном и почему мне удалось его спокойно удалить.....
    Да. Я из папки Карантин удалил пару файликов - там вирей точно нет, а кой-кая приватная инфа есть.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от KIRIFAN Посмотреть сообщение
    После перезагрузки - галка Показывать скрытые файлы и папки не слетает и всё показывается
    так и должно быть - это результат работы скрипта ....
    что вы там напихали в карантин 16 мегабайт ? ... удалите все оставте только два запрашиваемых файла и перезалейте ...

  9. #8
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    так и должно быть - это результат работы скрипта ....
    А я то размечтался

    что вы там напихали в карантин 16 мегабайт ? ... удалите все оставте только два запрашиваемых файла и перезалейте ...
    Упс. Два запрашиваемых это
    QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp \MKCIPCLMXZMCRK.exe','');
    QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp \HAXMQ.exe'

    ???
    Я залил всё что он (AVZ) в карантин насувал
    Изображения Изображения
    • Тип файла: jpg log.JPG (215.5 Кб, 22 просмотров)

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    нет симантик и аську я и с офсайта скачаю ...

  11. #10
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    Залил.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 83
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) KIRIFAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Руткит бродит по системе,не могу поймать.
      От samyrai в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.12.2010, 21:51
    2. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    3. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    4. Наверное руткит. Нужна помощь.
      От ViGiT в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.12.2008, 17:21
    5. Не могу поймать руткит.
      От Doc18 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 29.05.2008, 17:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00840 seconds with 18 queries