Показано с 1 по 5 из 5.

Замаскированный процесс, подозрение на KelnerMod Rootkit (заявка № 40338)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Irina786
    Регистрация
    25.08.2008
    Сообщений
    193
    Вес репутации
    49

    Exclamation Замаскированный процесс, подозрение на KelnerMod Rootkit

    Здравствуйте уважаемые хелперы!

    Сегодня обнаружился зловредный процесс (еще дня 2 назад не было)
    Симптомы:

    1 На некоторых сайтах (например виндоус апдейт) вместо содержимого загружается пустой лист (даже нет записи типа сервер не найден - вообще ничего).
    2 Не работает восстановление системы
    3 Не пустило в папку Систем Волум Информатион - "отказано в доступе"

    Обычная проверка ничего не дала. Но диспечер процессов AVZ показал налицие процесса:

    /Device/harddiskVolume1/DOKUME~1/....../Temp/RarSFXO/setup.exe

    Про этот setup.exe в графе Маскировка пишется "FU or KernelModRootkit" и AVZ указывает на подмену имени

    После перезагрузки AVZ больше его не видит - при стандартной проверке AVZ на последнем этапе в нижней строке окна программы мелькает что то типа : нарушено, заблокировано .. но так быстро что невозможно прочитать. И что то о нарушении ассоциации SCR файлов. Кроме того два дня назад MBAM указал что заражен файл wextract.exe (самоизвлечение cab-файлов) в папке Систем 32. Но после следующего обновления MBAM не обращал на него внимания и я подумала что это ложное срабатывание


    В безопасном режиме AVZ пишет:

    1.2 Поиск перехватчиков API в Kelner Mod
    Ошибка обмена данными с драйвером [00000002]-[1]
    1.4 Поискмаскировки процессов
    Ошибка обмена данными с драйвером [00000002]-[1]


    Помогите пожалуста!!
    Вложения Вложения
    Последний раз редактировалось Irina786; 24.02.2009 в 11:16.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Irina786
    Регистрация
    25.08.2008
    Сообщений
    193
    Вес репутации
    49
    Добавлю что имею на данный момент

    - страница виндоус апдейт все же открылась
    - на сайты, которые загружаются в виде пустой страницы можно зайти через анонимайзеры (но не через все)
    - некоторые сайты открываются нормально, но если сохранить страничку на жесткий диск, она также может открываться в виде пустого листа (в блокноте открывается)

    AVZ ведет себя странно - в нормальном режиме пишет о том что проверка маскировки процессов проведена успешно, а в безопасном режиме пишет:

    Ошибка обмена данными с драйвером [00000002]-[1]

    Что делать?

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    В логах чисто, установите SP3+all updates...

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Irina786
    Регистрация
    25.08.2008
    Сообщений
    193
    Вес репутации
    49
    Гриша спасибо за внимание

    меня очень волнует вопрос - драйвер поиска маскировки процессов может быть поврежден? это нормально когда он пишет о ошибке в безопасном режиме?

    сейчас пытаюсь проверить как работает восстановление - создала точку отката, но меня не пускает в папку System Volume information (доступ не разрешен) и размер этой папки 0 байт (теоретически, если там уже есть точка отката, то должен быть размер больше 0). это нормально?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    system restore когда нужно не помогает советую отключить и пользоваться программой, которая делает полный имидж диска и хранить диск на полочке не помешает (например acronis )
    драйвера avz в безопасном не работают, так что это нормально на данный момент.

  • Уважаемый(ая) Irina786, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. процесс explorer.exe подозрение
      От JS/Small.l в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.12.2009, 00:04
    2. Замаскированный svchost шлет спам
      От SergeY1984 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:57
    3. pictures.exe, замаскированный под папку
      От CandyMAN в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.11.2008, 13:48
    4. Непонятный замаскированный процесс
      От okypok в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.07.2008, 10:42
    5. Подозрение на сильно замаскированный троян
      От Anatoliy.N в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.02.2008, 15:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01096 seconds with 21 queries