Невідомий руткит кіс 2009 з загузочного диска його не бачить
Доброго вечора
КІС 2009 постійно вибиває обнаружено IrpTableChanget
avz також показує перехоплення
svchost.exe по логам кіс
18.12.2008 2 мб загрузки
19.12.2008 4 мб загрузки (з IP гугла перед тим хотів установити хрома, але я відмінив загузку після того як на нього каспер почав бочитись. Проте загрузка продовжувалась поки IP не вніс в хост) але проблеми почались до цього
кіс 2009 з загузочного диска його не бачить
загузочий диск доктора веба якщо не рохувати 2 вірусів з мого архіва мовчанка
CureIt в безпечному режимі також
в файлi host http://go.microsoft.com перекидка на Localhost
Наперед дякую вам за допомогу
Последний раз редактировалось suord; 21.12.2008 в 02:51.
Причина: уточнення
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Кіс постійно вибиває ( можливо не в тему )
21.12.2008 2:08:48 TCP от 222.177.8.81 на локальный порт 135 Отсутствует Обнаружено: Intrusion.Win.DCOM.exploit
21.12.2008 2:05:40 UDP от 61.153.180.10 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
лог робиться зараз скину при скануванні avz i Gmer вибиває цікаве повідомлення "C:\$Mft файл или каталог поврежден и не может бить прочитан запустите службу CHKDSK " а зверху повідомлення про програму типа AVZ.EXE чи Gmer.exe
таке уточнення (через редирект сайта майкросовта в хості) скачались якісь обновления до віндовса і вони вже встановились як їх відмінити (адже можливо це й не майкросовтівська а віруса) ситема постійно просить перезагрузки
Последний раз редактировалось suord; 21.12.2008 в 04:24.
Причина: знайшов
21.12.2008 2:08:48 TCP от 222.177.8.81 на локальный порт 135 Отсутствует Обнаружено: Intrusion.Win.DCOM.exploit
21.12.2008 2:05:40 UDP от 61.153.180.10 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
Intrusion.Win.MSSQL.worm.Helkern - не страшно ,если не стоит MSSQL
Intrusion.Win.DCOM.exploit - после лечения поставить все патчи на windows и это тоже будет не страшно, впрочм если блокирует, то тоже не страшно. Если мешает, отключите уведомление.
розібрався лог залив
Alex_Goodwin дякую іду викоувати скрипти host вже поправив сам
питання щодо обновлень віндовса не заю як з ними бути адже після перезагрузки вони втуплять в дію
карантину немає авз показує ошибку прямого чтения і перехоплення те ж саме що і в логах. Що робити може попробувати зробити загрузочний диск з авз і каспером та попробувати з нього?
перехоплення irp залишилося
тепер при новому скануванні авз вибиває внизу повідомлення не лиш на C:\$Mft а й на якись файл з антивірусних баз каспера повідомлення в панелі швидкого запуку (там де годинник)"C:\$Mft файл или каталог поврежден и не может бить прочитан запустите службу CHKDSK"
Последний раз редактировалось suord; 21.12.2008 в 04:29.
карантин пустий лише *.ini файли що в звичайному режимі що в безпечному результат один через Gmer файла не видно в любих режимах
після 3 спроби карантину в безпечому режимі зобив лог прошу
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\Winta30.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\Winta30.sys)
Карантин с использованием прямого чтения - ошибка
які ваші дальші рекомендації
Добавлено через 1 час 2 минуты
svchost.exe відкриті порти 135, 123, 1900,
(21.12.2008 2:08:48 TCP от 222.177.8.81 на локальный порт 135 Отсутствует Обнаружено: Intrusion.Win.DCOM.exploit)
може ця зараза Intrusion.Win.DCOM.exploit
Добавлено через 2 часа 46 минут
з реєстру якщо удаляти через авз всі записи з winta30.sys після перезагрузки вони знову появляються
питання якщо переставити ось форматуючи лише системний розділ чи залишиться дана зараза
Допоможіть не знаю як з цею заразою боротись
Последний раз редактировалось suord; 21.12.2008 в 08:45.
Причина: Добавлено
И так, 1 - удалите даемонд тулз - мешает очень
2. Переименуйте sfcfiles.dll что в system32 и скопируйте туда sfcfiles.dll из dllcache. После ребутнитесь.
при работе гмера постоянно появляется в трее гмера "C:\$Mft файл или каталог поврежден и не может бить прочитан запустите службу CHKDSK "
даемонд тулз удалил перезагрузился но в логах гмера она осталась
dll поминял
логи gmera и авз
сечас стало не возможним запустить на проверку каспера вроде работаєт но минут через 5 проверка останавливаєтся в логах єсть того что проверка запущена загрузочний диск зделать не возможно ошибка при копировании баз - ани повреждени
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: