Показано с 1 по 17 из 17.

Трёхголовый руткит (заявка № 29042)

  1. #1
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37

    Exclamation Трёхголовый руткит

    При сканировании анхукером файлов на диске с установленным антивирусом (symantec или avg) в начале сканирования вылезает три трояна и прописываются в реестре с именами 78B45A19.exe и sys и т.п.

    вирус выслан по правилам
    Вложения Вложения
    Последний раз редактировалось Toms; 27.08.2008 в 15:02.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\WINDOWS\system32\mobsync.exe','');
     QuarantineFile('G:\WINDOWS\system32\E6722B12.exe','');
     DeleteFile('G:\WINDOWS\system32\E6722B12.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('E6722B12');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=29042 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи (3 лога, а не 2 ).

    RAdmin Вы ставили?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37
    r_admin установлен
    Вложения Вложения
    Последний раз редактировалось kps; 27.08.2008 в 16:42. Причина: Удалил карантин

  5. #4
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37
    После выполнения скрипта ситуация не изменилась.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    G:\WINDOWS\system32\mobsync.exe
    Это Вы прописывали в автозапуск? Файла, видимо, нет на диске.

    Цитата Сообщение от Toms Посмотреть сообщение
    При сканировании анхукером файлов на диске
    Каким анхукером?? Подробнее пожалуйста.

    Пункт 2 правил выполнялся (полная проверка CureIt!) ?

    Добавлено через 3 минуты

    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('78B45A19');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи. Плюс сделайте лог Gmer, я вижу, он у Вас есть.
    Последний раз редактировалось kps; 27.08.2008 в 16:58. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37
    1) G:\WINDOWS\system32\mobsync.exe - файла нет на диске. В автозагрузке он стоит как "disabled", на данный момент мы эту старую запись убрали. 2) RKU обе версии: 3.7.300.509 3.8.341.552 3) Cureit в безопасном режиме с полной проверкой ничего не находит, а также при загрузке компа с livecd (от Касперского). 4) При удалении 3-х троянов (2 прописываются как сервисы 78B45A19.exe (произвольный набор 8-ми 16-ричных символов в имени) и один как драйвер С9B45A23.sys ( то же произвольный набор) они спокойненько удаляются но ситуация не меняется. 5) Высылаем лог gmer
    Изображения Изображения
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Я правильно понимаю, что антивирусы детектят трояны, только когда Вы запускаете/сканируете RKU ?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37
    Цитата Сообщение от kps Посмотреть сообщение
    Я правильно понимаю, что антивирусы детектят трояны, только когда Вы запускаете/сканируете RKU ?
    Да, когда запускается скан Files

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Это фолсы на rku.

  11. #10
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Это фолсы на rku.
    Если это фолсы, то почему эти трояны прописываются в системе как службы и драайвера? И почему на virustotal.com они опознаются как трояны?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Toms Посмотреть сообщение
    И почему на virustotal.com они опознаются как трояны?
    Кем определяются? И как определяются?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    а как по вашему должен работать рку если не устанавливать драйвер ?

  14. #13
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37
    1) Имя драйвера RKU sybex38.sys, а имя драйвера трояна типа: С9B45A23.sys 2) Результаты анализа http://www.virustotal.com/reanalisis...025097f29b5327

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Toms Посмотреть сообщение
    1) Имя драйвера RKU sybex38.sys, а имя драйвера трояна типа: С9B45A23.sys 2) Результаты анализа http://www.virustotal.com/reanalisis...025097f29b5327
    Так и думал - в основном генерики, т.е. эвристическое поведенческое подозрение.
    Для расслабления скачайте антималварную программу Combofix и загоните ее на Virustotal.com.

  16. #15
    Junior Member Репутация
    Регистрация
    27.11.2006
    Сообщений
    14
    Вес репутации
    37
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Так и думал - в основном генерики, т.е. эвристическое поведенческое подозрение.
    Для расслабления скачайте антималварную программу Combofix и загоните ее на Virustotal.com.
    А как по поводу пункта 1.)

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Toms Посмотреть сообщение
    А как по поводу пункта 1.)
    Так а что Вы хотите: антималварные проги друг друга как зловредов распознают, тут ничего нового нет.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,522
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Toms, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. Ответов: 22
      Последнее сообщение: 14.06.2010, 15:22
    3. sp** руткит?
      От romango в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 14.12.2009, 23:18
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00290 seconds with 24 queries