Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Невідомий руткит кіс 2009 з загузочного диска його не бачить (заявка № 36032)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52

    Exclamation Невідомий руткит кіс 2009 з загузочного диска його не бачить

    Доброго вечора
    КІС 2009 постійно вибиває обнаружено IrpTableChanget
    avz також показує перехоплення
    svchost.exe по логам кіс
    18.12.2008 2 мб загрузки
    19.12.2008 4 мб загрузки (з IP гугла перед тим хотів установити хрома, але я відмінив загузку після того як на нього каспер почав бочитись. Проте загрузка продовжувалась поки IP не вніс в хост) але проблеми почались до цього
    кіс 2009 з загузочного диска його не бачить
    загузочий диск доктора веба якщо не рохувати 2 вірусів з мого архіва мовчанка
    CureIt в безпечному режимі також
    в файлi host
    http://go.microsoft.com перекидка на Localhost

    Наперед дякую вам за допомогу
    Вложения Вложения
    Последний раз редактировалось suord; 21.12.2008 в 02:51. Причина: уточнення

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Выложите лог Gmer

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    Кіс постійно вибиває ( можливо не в тему )
    21.12.2008 2:08:48 TCP от 222.177.8.81 на локальный порт 135 Отсутствует Обнаружено: Intrusion.Win.DCOM.exploit
    21.12.2008 2:05:40 UDP от 61.153.180.10 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
    лог робиться зараз скину при скануванні avz i Gmer вибиває цікаве повідомлення "C:\$Mft файл или каталог поврежден и не может бить прочитан запустите службу CHKDSK " а зверху повідомлення про програму типа AVZ.EXE чи Gmer.exe
    таке уточнення (через редирект сайта майкросовта в хості) скачались якісь обновления до віндовса і вони вже встановились як їх відмінити (адже можливо це й не майкросовтівська а віруса) ситема постійно просить перезагрузки
    Последний раз редактировалось suord; 21.12.2008 в 04:24. Причина: знайшов

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    http://gmer.net/gmer.zip
    21.12.2008 2:08:48 TCP от 222.177.8.81 на локальный порт 135 Отсутствует Обнаружено: Intrusion.Win.DCOM.exploit
    21.12.2008 2:05:40 UDP от 61.153.180.10 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
    Intrusion.Win.MSSQL.worm.Helkern - не страшно ,если не стоит MSSQL
    Intrusion.Win.DCOM.exploit - после лечения поставить все патчи на windows и это тоже будет не страшно, впрочм если блокирует, то тоже не страшно. Если мешает, отключите уведомление.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    лог по адресі
    /////
    сюди чомусь не вставляєть
    Лог я зробив правильно?

    Выложите на нормальный, бесплатный обменник!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    1. Выполните скрипт:
    Код:
    begin
     ClearQuarantine;
     SetAVZPMStatus(true );
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winta30.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Хост сами правили?
    3. Пофиксить
    Код:
    	R3 - URLSearchHook: (no name) - - (no file)
    4. Карантин по правилам, после перезагрузки новые логи по правилам, начиная с пункта 2.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    розібрався лог залив
    Alex_Goodwin дякую іду викоувати скрипти host вже поправив сам
    питання щодо обновлень віндовса не заю як з ними бути адже після перезагрузки вони втуплять в дію
    Вложения Вложения

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    карантину немає авз показує ошибку прямого чтения і перехоплення те ж саме що і в логах. Що робити може попробувати зробити загрузочний диск з авз і каспером та попробувати з нього?
    перехоплення irp залишилося
    тепер при новому скануванні авз вибиває внизу повідомлення не лиш на C:\$Mft а й на якись файл з антивірусних баз каспера повідомлення в панелі швидкого запуку (там де годинник)"C:\$Mft файл или каталог поврежден и не может бить прочитан запустите службу CHKDSK"
    Последний раз редактировалось suord; 21.12.2008 в 04:29.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    В карантин файл попал? Если нет, тогда попробуйте его Гмером скопировать или в безопасном режиме скриптом..

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    карантин пустий лише *.ini файли що в звичайному режимі що в безпечному результат один через Gmer файла не видно в любих режимах
    після 3 спроби карантину в безпечому режимі зобив лог прошу
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\Winta30.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\Winta30.sys)
    Карантин с использованием прямого чтения - ошибка
    які ваші дальші рекомендації

    Добавлено через 1 час 2 минуты

    svchost.exe відкриті порти 135, 123, 1900,
    (21.12.2008 2:08:48 TCP от 222.177.8.81 на локальный порт 135 Отсутствует Обнаружено: Intrusion.Win.DCOM.exploit)
    може ця зараза Intrusion.Win.DCOM.exploit

    Добавлено через 2 часа 46 минут

    з реєстру якщо удаляти через авз всі записи з winta30.sys після перезагрузки вони знову появляються

    питання якщо переставити ось форматуючи лише системний розділ чи залишиться дана зараза

    Допоможіть не знаю як з цею заразою боротись
    Последний раз редактировалось suord; 21.12.2008 в 08:45. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    suord, чуть выше написано - "Форум на русском языке".
    Я к примеру, не понимаю, что вы пишите, и соответственно, помочь вам не смогу. И не я один.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Обновите базы АВЗ, повторите все логи.
    ПС: Якщо Ви маєте проблеми з російською мовою - в нас англійський розділ.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    И так, 1 - удалите даемонд тулз - мешает очень
    2. Переименуйте sfcfiles.dll что в system32 и скопируйте туда sfcfiles.dll из dllcache. После ребутнитесь.

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    Здравствуйте!
    Прошу еще раз помочь с проблемой
    новие логи
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Вы выполнили мои рекоммендации?
    Повторите лог гмера.

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    Alex_Goodwin здрасти
    логи готовлю на прошлиє внимания не обращать

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    при работе гмера постоянно появляется в трее гмера "C:\$Mft файл или каталог поврежден и не может бить прочитан запустите службу CHKDSK "
    даемонд тулз удалил перезагрузился но в логах гмера она осталась
    dll поминял
    логи gmera и авз
    сечас стало не возможним запустить на проверку каспера вроде работаєт но минут через 5 проверка останавливаєтся в логах єсть того что проверка запущена загрузочний диск зделать не возможно ошибка при копировании баз - ани повреждени
    Вложения Вложения
    • Тип файла: rar log.rar (213.5 Кб, 3 просмотров)

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\DRIVERS\Winta30.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Winta30.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    виполнил
    авз тоже?
    Вложения Вложения
    • Тип файла: rar log3.rar (116.8 Кб, 6 просмотров)

  21. #20
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.08.2008
    Сообщений
    15
    Вес репутации
    52
    по авз тоже что и било реузультата нет

  • Уважаемый(ая) suord, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 05.02.2011, 13:15
    2. Ответов: 1
      Последнее сообщение: 22.04.2010, 01:14
    3. Ответов: 2
      Последнее сообщение: 18.03.2010, 17:21
    4. Плагин avz для загрузочного диска
      От drongo в разделе Опросы
      Ответов: 30
      Последнее сообщение: 15.11.2008, 11:14
    5. Создание загрузочного диска с Windows XP SP3
      От SDA в разделе Microsoft Windows
      Ответов: 4
      Последнее сообщение: 03.08.2008, 20:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00033 seconds with 22 queries