Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Похоже на нового руткита (заявка № 39902)

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783

    Question Похоже на нового руткита

    Доброе время суток! На компьютере, похоже, завёлся новый зловред. Симптомы:
    1. Авира больше не грузится.
    2. Повторный реинсталл антивирусных пакетов приводит к сбою проверки CRC - похоже, что к исполняемым файлам цепляется какой-то паразит.
    3. Не рессолвится ДНС.
    4. Постоянно загружаются новые зловреды - последним был ntos.exe
    5. Запуск cure.it удалил вирусы, запуск утилиты Каспера обнаружил заражение всех exe-файлов неизвестным вирусом.
    6. Запуск сторонних антируткит-утилит не обнаружил подозрительных процессов и сервисов, однако очевиден перехват zwOpenFile. и многое другое - трудно симптомы самого вируса отличить от того, что он подгружает и запускает.

    Help!
    Последний раз редактировалось gjf; 12.06.2009 в 14:46.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    P.S. Да в принципе все перехваты и в логах имеются

    Добавлено через 2 минуты

    V_Bond,
    А к чему вы мне это указали? Проверка выполнялась чётко по правилам, как раз CureIt считает, что всё ок. А заражение файлов, обнаруженное утилитой Касперского, это не реальное заражение, как мне кажется, а результат перехвата функций. Вы логи не смотрели?

    Добавлено через 3 часа 36 минут

    Кажется, картина становится понятной. Смутила разница в размерах файлов до и после запуска на заражённой машине с флешки.
    Вот результаты скана AVZ4 и IceSword после их запуска на заражённой машине:
    http://www.virustotal.com/ru/analisi...0b8606a9da90be
    http://www.virustotal.com/ru/analisi...f088e8fe119e32

    По-видимому, новая модификация Virut, которую пока надёжно детектят только несколько антивирусных вендоров.

    Добавлено через 4 минуты

    По-видимому, новая модификация Virut, которую пока надёжно детектят только несколько антивирусных вендоров. Единственное, что неясно: Virut - это первопричина или просто одна из набора вторичной заразы? Это он перехватывает системные функции или нет?
    Последний раз редактировалось gjf; 17.02.2009 в 20:32. Причина: Добавлено

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Отправьте пару exe файлов в ВирЛаб Доктора vms@drweb.com отправлять в запароленном архиве, пароль: virus

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Цитата Сообщение от Гриша Посмотреть сообщение
    Отправьте пару exe файлов в ВирЛаб Доктора vms@drweb.com отправлять в запароленном архиве, пароль: virus
    Уже отправлено через веб-форму на сайте, идентификатор #793864

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    И нам пришлите по красной ссылке вверху темы...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Прислал. Без пароля ибо уже задолбался паролить - к часу ночи так и не оживил машину, зато активно напереписывался с разрабами Авиры, Каспера и Веба.

    Честно признаюсь: просто удивлён, что далеко не фавориты битв за лучший антивирус раньше всех создали не просто сигнатуры, но и модули лечения этой заразы. И что теперь? Ждать, когда подтянется отечественный разработчик с бесплатными утилитами? :-(

    Добавлено через 30 минут

    Подозреваю, что красная ссылка сверху не сработала, на всякий случай дубляж:
    Последний раз редактировалось V_Bond; 18.02.2009 в 09:37.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    На данный момент AVPTool способен детектировать и удалять эту версию Вирута. К сожалению, утилита не позволяет лечит системные заражённые файлы (svchost.exe, services.exe и т.д.). Идеально было бы попробовать LiveCD, но Касперский такого не предоставляет - нужно делать самому...

    Добавлено через 4 часа 46 минут

    Всё оказалось не так просто. Касперский лечит файл, но откуда-то он появляется опять. Учитывая постоянные попытки svchost залезть в сеть и получить доступ к разделу диска на низком уровне - вирус ещё есть где-то, но не в файлах.

    Товарищи Хелперы, товарищи представители вендоров - будет решение моей проблемы? Уже сутки, а в ветке пишу я один! :-(
    Последний раз редактировалось gjf; 18.02.2009 в 22:06. Причина: Добавлено

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Вашего файла нет...

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    А вы нажмите на ссылку " Последний раз редактировалось V_Bond; Сегодня в 08:37 "

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    читаем правила ...
    11. Запрещено распространение через форум проекта любых видов вредоносного программного обеспечения. Запрещена публикация активных ссылок на заражённые файлы и сайты.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Я вижу правила, очень уважаю данный ресурс и всё понимаю, но что делать, если скрипт загрузки не работает? Мне ничего не оставалось...

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    работает ...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Вот сейчас уже да! Спасибо - вирусы закачаны, смотрите!

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    KIS 2009= Virus.Win32.Virut.ce; DrWEB 5.0= Win32.Virut.56 ....

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Уже да - не зря я им вчера его слал. Проблема в том, что уже активное заражение убить не получается: системные файлы обещает очистить после перезагрузки, но в итоге не чистит.

    Установил вторую систему, с неё запустил AVPTool, всё вычистил в два прохода (второй не обнаружил вирус).

    Загрузил заражённую систему, удалил вторую, установил KIS 2009 - опять вирус!

    Сейчас пролечил, второй проход активной инфекции не обнаружил, но есть подозрительная активность с svchost. Дам машине проработать ночь с выходом в сеть, а завтра проверю всё снова. Если результат будет отрицательный - можно судить о излечении.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Давайте логи по новой.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    По-видимому, победил.... После проделанных манипуляций сейчас с утра запустил CureIt, если ничего не найдёт - можно будет говорить об излечении.

    После проверки выложу новые логи.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Антивирусный поиск CureItом выявил кучу недобитой заразы, в частности Trojan.Spambot.4336, Win32.HLLW.ASutorun.6315, множество Win32.HLLW.Gavir.ini.

    Видимо, это ещё не конец...

    Логи прилагаю.
    Последний раз редактировалось gjf; 12.06.2009 в 14:46.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пуск - выполнить Sfc /scannow (понадобится диск с дистрибутивом)

  • Уважаемый(ая) gjf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Словил руткита(
      От bossmen5 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2012, 20:33
    2. Убить руткита
      От Alex55-55 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.11.2010, 22:18
    3. Последствия руткита
      От floyn в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.06.2010, 18:35
    4. Следы от руткита
      От onDemand в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 10.07.2009, 11:48
    5. Похоже на руткита
      От Максут в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.08.2008, 18:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01377 seconds with 21 queries