Показано с 1 по 16 из 16.

Подозрение на руткит. (заявка № 22860)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32

    Thumbs down Подозрение на руткит.

    Добрый день.
    Не устанавливается Антивирус Касперского.
    Стандартный AVZ запускается с иероглифами в меню.
    Скачал его однофайловый аналог temp.pif, все логи от него, без обновления баз.
    Подозрение на руткит.
    P.S.
    AVZ сформировал карантин, не высылаю, т.к. он должен быть "запрошенным".
    Если будет мешать анализу попытаюсь удалить, но ... они перестали запускаться и удаляться...
    VMware Tools Service - мной была установлена виртуальная машина, осталась в службах.
    PGP - мной установлен пакет, присутствует в запущенных процессах.

    Спасибо за помощь.
    Вложения Вложения
    Последний раз редактировалось q75; 14.05.2008 в 13:38.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\upsctl.dll','');
     QuarantineFile('C:\WINDOWS\System32\upscr.sys','');
     QuarantineFile('upsctl.dll','');
     QuarantineFile('TPSvc.dll','');
     QuarantineFile('C:\WINDOWS\System32\utf8.dll','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\compbatt.sys','');
     QuarantineFile('C:\WINDOWS\system32\upsctl.dll','');
     QuarantineFile('C:\WINDOWS\System32\unicode.dll','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32
    Карантин выслал. Не знаю нужно ли оповещать об этом?

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Файл зараженный есть...но какой из трех...вот секрет
    Скачал карантин пойду на virustotal.

    Добавлено через 9 минут

    О нашел это
    C:\WINDOWS\System32\unicode.dll - Trojan.Webmoner.60933
    еще один
    C:\WINDOWS\System32\upsctl.dll - Trojan.PWS.GoldSpy.origin

    Первый по названию должен красть пароли от Webmoney, второй тоже крадет пароли....готовтесь менять.


    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\System32\unicode.dll');
     DeleteFile('C:\WINDOWS\System32\upsctl.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи.
    Последний раз редактировалось akoK; 14.05.2008 в 16:50. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32
    Все сделал. AVZ по-прежнему с иероглифами... Устанавливать KAV пока не пробовал.

    Запустил на установку KAV, все по-старому.

    Вложения Вложения
    Последний раз редактировалось q75; 14.05.2008 в 17:51.

  7. #6
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32
    Господа, помогите пожалуйста. Спасибо.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    При помощи AVZ найдите TPSvc.dll и пришлите согласно правил

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\vmx_svga.sys','');
     SetServiceStart('upscr', 4);
     QuarantineFile('C:\WINDOWS\System32\utf8.dll','');
     QuarantineFile('TPSvc.dll','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\compbatt.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\CmBatt.sys','');
     QuarantineFile('C:\WINDOWS\System32\upscr.sys','');
     DeleteFile('C:\WINDOWS\System32\upscr.sys');
     DeleteFile('upsctl.dll');
     BC_DeleteFile('upsctl.dll');
     DeleteService('upscr');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил


    Пофиксить в HijackThis следующие строчки
    Код:
    O20 - Winlogon Notify: upsctl - upsctl.dll (file missing)
    Если это не вы создавали настройку IE то

    Пофиксить в HijackThis следующие строчки
    Код:
    	R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.10.101:80
    Microsoft Most Valuable Professional in Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32
    Указанный файл не найден (не существует).
    Все логи после выполнения требований.
    В IE настройки мои.
    Карантин выслал.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пункт 2 правил выполнялся ?

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    C:\WINDOWS\System32\upscr.sys - Backdoor.Win32.Agent.ify

    Добавлено через 28 минут

    как пациент?
    Последний раз редактировалось akoK; 15.05.2008 в 22:56. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32
    Пациент плохо. Не открывается окно "Учетные записи", не печатает из тела письма в Outlook, и еще неадекватности наблюдаются. Пункт 2 не выполнялся. Просто снял диск проверил его каспером (в начале проблемы) расширенными базами все чисто, идиотизм. Может не успели сигнатуры обновить? Проверю CureIT, а потом format c: ?

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Сначала CureIT потом логи....а дальше посмотрим.

    Добавлено через 1 минуту

    Да перед созднием логов скачайте обычную версию AVZ.

    Добавлено через 2 минуты

    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Уже SP3 увидела свет...спишите пенсионера SP1 на пенсию
    Последний раз редактировалось akoK; 16.05.2008 в 11:21. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32
    Предложили убить все процессы в частности PGPTray т.к. через него было много прецендентов распространения заразы. Убить при помощи IceSword.(Пока не делал) CureIT результат: все чисто... По поводу AVZ. Я не могу работать нормально с этой программой в стандартном варианте, т.к., видимо, троян ее блокирует и я вижу в меню одну ерунду. Поэтому использую скачаный с Вашего же форума файл temp.pif (AVZ) Ну и собственно логи. Карантин выслал на всякий случай.
    Вложения Вложения

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Вы АВЗ заново скачивали? Попробуйте запустить стандартный АВЗ так создайте текстовый файл с расширением txt в блокноте. напишите там start avz.exe lang=ru
    Фай сохраните как start.bat в папке с утилитой АВЗ, само-собой. или попробуйте строчку такую - start avz.exe lang=en.
    вместо файла avz.exe запускайте start.bat

  16. #15
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    56
    Вес репутации
    32
    Все. Сделал как говорили. Толку нет. AVZ запустился нормально, но ничего не нашел со свежими базами. Процессы все убил. Тоже ничего. К сожалению, время простоя компа поджимает, вынужден сдаться. Видимо ось перепахана нешуточно. Переустанавливаю... Спасибо всем за посильную помощь.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,526
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 38
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\unicode.dll - Trojan-Spy.Win32.Webmoner.ji (DrWEB: Trojan.Webmoner.60933)
      2. c:\\windows\\system32\\upscr.sys - Backdoor.Win32.Agent.ify (DrWEB: Trojan.AVKill.41
      3. c:\\windows\\system32\\upsctl.dll - Trojan-Spy.Win32.Goldun.agv (DrWEB: Trojan.PWS.GoldSpy.2190)


  • Уважаемый(ая) q75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на руткит
      От sazmir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.12.2011, 14:02
    2. Подозрение на руткит
      От loser3000 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.07.2010, 11:45
    3. Подозрение на руткит
      От Caterpillar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 15:25
    4. Подозрение на руткит
      От TJDimas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.04.2010, 06:04
    5. Подозрение на руткит
      От Hazard163 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.12.2008, 23:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00118 seconds with 23 queries