Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

dpti930 (заявка № 22942)

  1. #1
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    Thumbs down dpti930

    ) ну вот собственно тема
    в одном из офисов кто-то подцепил эту гадость, через пару дней ни одного антивируса нет.
    симптомы: выключаються антивирусы, при наборе в браузерах avz, cureit и т д браузер закрывает, переименнованный avz работает, безопастный режим не работает.
    в системе регистрируеться сервис dpti930 который подгружает в ядро драйвер jkkkji.sys из папки system32\drivers (имя драйвера мож быть разным).
    1. восстановить безопастный режим можно в avz если выполнить восстановление системы\восстановление safe mode
    2. при входе в безопасный режим, драйвер(сервис dpti930 не подгружаеться)
    3. через скрипты avz, драйвер нельзя добавить в карантин или удалить
    4. при загрузке с другой системы(winpe, bartpe, какой нибудь live cd), в папке system32\drivers нет файла jkkkji.sys
    4. удаление из безопастного режима веток реестра отвечающего за загрузку сервиса ни к чему не приводит, сервис удаляеться, но после загрузки в нормальном режиме снова появляеться.
    возможно надо было сделать дамп памяти процесса но не подумал чет, если нужно будет попробую сделать

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Сделайте логи по правилам...

  4. #3
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    ))

    http://virusinfo.info/showthread.php?p=223078
    логи точ такие же будет ) сравнивал )

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от emodex Посмотреть сообщение
    логи точ такие же будет ) сравнивал )
    по любому таблетки выписываем на ваше имя...
    сначала логи потом таблетка, сразу таблетку можно, но логи всё равно вперёд, и только ваши.

  6. #5
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    )

    в понедельник будут )
    в офис на другой конец города ехать

  7. #6
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    dpti930

    ) ну во и логи поспели )
    жду )
    Вложения Вложения

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите восстановление системы и антивирус!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('dpti930', 4);
    StopService('dpti930');
    QuarantineFile('C:\WINDOWS\system32\drivers\jkkkji.sys','');
    DeleteService('dpti930');
    DeleteFile('C:\WINDOWS\system32\drivers\jkkkji.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('dpti930 ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/showthread.php?t=22942

    Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    dpti930

    в карантине авира антируткит тул)
    логи повторяю )
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Восстановление системы - отключить !!!
    скачайте C:\WINDOWS\system32\drivers\jkkkji.sys- force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\jkkkji.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  11. #10
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32
    упс про восстановление забыл ) сейчас

  12. #11
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    dpti930

    ледяной мечь не видит этот файлик )
    я уже писал его даже под другой системой не видно, видимо тут что-то другое.
    поэтому ни карантиниться этот драйвер и не удаляеться.
    логи все то же показывают, восстановление отключено, скрипт выполнил не помогло.
    логи.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32
    через модули ядра удалось снять дамп с драйвера
    прислать в карантин?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('dpti930');
     DeleteFile('C:\WINDOWS\system32\drivers\jkkkji.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите virusinfo_syscheck.zip

  15. #14
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    dpti930


    повторяю логи )
    тока перед перезагрузкой пишеццо
    "для удаления jkkkji.sys необходима перезагрузка"
    вот логи после перезагрузки )
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32
    вобщем меня на основной работе ждут )
    я отправил дамп процесса в ЛК и т.д
    пусть разбираються
    просто так этот dpti не удаляеться
    я пробовал по всякому, и в безопасном и с liveCD помогла только переустановка всей системы.
    если ответят мне из ЛК то отпишусь, не у меня одного же этот dpti появился, а так до встречи ) спасибо за попытку помоч )

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    откуда авз скачивали ?

    Добавлено через 1 минуту

    Код:
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    если это таже что и в предыдущих логах ....
    выполните пункт 2 правил ... и avz.exe пришлите согласно приложения 3 правил ...
    Последний раз редактировалось V_Bond; 20.05.2008 в 10:35. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    dpti930

    авз скачивал с z-oleg
    99% что авз заражен win32.hllp.sector.s
    куреит находит его вирусные тела.
    зараженный авз скину в карантин чуть позже.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните отсюда http://virusinfo.info/showthread.php?t=15927 пункт номер 1.
    После того, как пришлете зараженный AVZ, удалите его и скачайте чистый.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Junior Member Репутация
    Регистрация
    16.05.2008
    Сообщений
    15
    Вес репутации
    32

    dtpi930

    )) нашел тело
    этот вирус куреитом обнаруживаеться как win32.hllp.sector.s
    я думал это два вируса один просто убивает антивирусы а второй это старый добрый сектор, видимо это просто модификация.
    авз в карантине.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Новые логи хорошо бы Вам сделать. CureIt! все обнаруженное вылечил? Больше ничего не находит ?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) emodex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00678 seconds with 22 queries