Показано с 1 по 13 из 13.

Rootkit.Win32.Pakas.n и иже с ними (заявка № 32235)

  1. #1
    Junior Member Репутация
    Регистрация
    17.10.2008
    Сообщений
    6
    Вес репутации
    30

    Question Rootkit.Win32.Pakas.n и иже с ними

    Ситуация следующая. Подцепил видимо FF (Во время заражения был 2, но он был снесён и поставлен 3). Затем было несколько различных симптомов, такие как:

    • странная активность на svchost (скан открытых портов по различным адресам),
    • украденные пароли от CuteFTP (с последующим появлением на сайтах инородных вкраплений iframe) и ICQ (с невозможностью восстановления)
    • Файл bvnbeesic.sys, содержащий этот самый Rootkit.Win32.Pakas.n и располагающийся в каталоге system32/drivers/. Ещё вчера утром его не мог определить ни каспер, ни дрвеб (сегодня может, ибо вчера был туда заслан)
    • отлавливаемые каспером вирусы при попытке загрузки FireFox.

    В общем работа встала. Помогите.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
     QuarantineFile('fusstub.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\HH9Help.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\symlcbrd.sys','');
     BC_DeleteSvc('SysSch');
     QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
     DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

    Установите Adobe Acrobat Reader 9.0 или удалите старый.
    Антивирус Касперского 6.0 для Windows Workstations уже не поддерживается:
    http://www.kaspersky.ru/support/kav6...?qid=208636053
    Установите новую версию.

  4. #3
    Junior Member Репутация
    Регистрация
    17.10.2008
    Сообщений
    6
    Вес репутации
    30
    Акробат удалил
    Карантин прислал
    С каспера пока уйти не могу - нужно одобрение со стороны IT-начальника. Но вопрос уже задал.
    Лог прилагаю
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    KAV WKS поддерживается по сей день, прекратилась поддержка персональных продуктов 6 версии...

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('obmcardge');
     QuarantineFile('C:\WINDOWS\system32\drivers\bvnbeesic.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\bvnbeesic.sys');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('obmcardge');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    17.10.2008
    Сообщений
    6
    Вес репутации
    30
    Выполнил скрипт. После перезагрузки возик Active Desktop Recovery (никогда не пользовался Active Desktop).
    Появилось сообщение:
    В заголовке: taskmgr.exe - Неверный образ
    В тексте: Приложение или библиотека с C:/Wybdows/system32/iphlpapi.dll не является образом программы для WindowsNT. Проверьте назначение установочного диска.
    Карантин выслал. Логи прилагаю.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    В логах чисто...

  8. #7
    Junior Member Репутация
    Регистрация
    17.10.2008
    Сообщений
    6
    Вес репутации
    30
    Здорово конечно, но от этого варнинги не перестали лезть. Мало того, теперь не только эта dll, но и одна из dll от касперского и pshook.dll от пунто свитчера. С этим-то что делать?

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Это легитимные файлы, опасности они не представляют, если хотите можете еще выполнить полную проверку CureIT...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пришлите пару таких dll по Правилам.

  11. #10
    Junior Member Репутация
    Регистрация
    17.10.2008
    Сообщений
    6
    Вес репутации
    30
    Закнул в zip-архив и залил все dll, которые вызывали ошибку. + закинул туда taskmanager. Он у меня в автозапуске дабы отслеживать загрузку проца ну и всё такое. В нём-то и возникают ошибки.

    Добавка: CureIt только закончил. Ничего не нашёл.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Присланные taskmgr.exe и iphlpapi.dll идентичны оригинальным.
    Ошибка всегда появляется или время от времени?

  13. #12
    Junior Member Репутация
    Регистрация
    17.10.2008
    Сообщений
    6
    Вес репутации
    30
    Ситуация следующая:
    У меня в автозагрузке стоит этот самый таск-манагер (естественно ссылка на него). При его загрузке возникает ошибка. При этом, как ни странно, в обычной загрузке таскманагера (по Ctrl+Alt+Del) ошибки не появляется. Странно....

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,558
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mssrv32.exe - not-a-virus:AdWare.Win32.Virtumonde.amdp (DrWEB: DDoS.Kardraw)


  • Уважаемый(ая) Ace Wentura, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 21.02.2010, 22:09
    2. Ответов: 3
      Последнее сообщение: 11.02.2010, 15:01
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    5. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00275 seconds with 22 queries