Где-то подхватил руткит, долго боролся с ним, но безрезультатно... не знаю что делать...
Avira Antivir в режиме поиска руткитов ругается на HEUR/Modified.Systemfile, на вот эти файлы:
advapi32.dll; alg.exe; csrss.exe; ctfmon.exe; kbdclass.sys; lsass.exe; ntdll.dll; services.exe; smss.exe; spoolsv.exe; svchost.exe; winlogon.exe; ws2_32.dll; wsock32.dll.
Загрузился с LiveCD, обнаружил, что у меня в реестре в разделе "Services" появилась служба gaopdxserv.sys, ссылается на файл "gaopdxmqxtimrnkspyfvmcwmpxvbwerxbfpmkb.sys", причём они (запись в реестре и файл) видны только через LiveCD, а в заражённой системе они не давали себя обнаружить. Грохнул и службу (в реестре) и файл с помощью LiveCD.
Но этого оказалось мало, на вышеуказанные системные файлы он всё равно ругается. CureIT ничего не находит, AVZ тоже. Кроме того, AVZ почему-то не может скопировать эти файлы в карантин.
Попробовал заменить эти файлы "здоровыми" (не заражёнными) файлами со второй ОС - не помогло, он кроме них сидит где-то в другом месте, и даже если я их заменяю здоровыми - заражает снова. Один раз была попытка прописать троянский DNS, я его убрал. Перехвата функций руткитом после удаления файла с длинным именем не замечено. Ещё бывает, когда я набираю текст на клавиатуре, вдруг выплывает текст "test", причём многократно повторяется... На жёстком диске никаких autorun.inf у меня нет, да и если бы были - всё равно автозапуск отключен. Помогите пожалуйста. Если надо, могу приложить зараженные файлы.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
У Вас сборка Винды не родная, поэтому Avira может ругаться на системные файлы.
На другом разделе такая же сборка, такой же Antivir с такими же настройками. И не ругается. Со второго раздела я скопировал не заражённые файлы в отдельную папку, программа для сравнения файлов пишет, что файлы в этой папке не отличаются от тех, которые в заражённой системе.
Может ли что-то модифицировать эти файлы в памяти, а не на диске?
По адресу Services\Tcpip\Parameters в параметре Nameserver руткит снова попытался прописать вот эти IP:
85.255.112.71
85.255.112.105
Ещё в реестре обнаружил кой-чего, см. приложенный файл.
Последний раз редактировалось Leo7; 23.03.2009 в 18:13.
ничего подозрительно. видны эмуляторы (даемон, алкоголь).
Загрузился с LiveCD, обнаружил, что у меня в реестре в разделе "Services" появилась служба gaopdxserv.sys, ссылается на файл "gaopdxmqxtimrnkspyfvmcwmpxvbwerxbfpmkb.sys", причём они (запись в реестре и файл) видны только через LiveCD, а в заражённой системе они не давали себя обнаружить. Грохнул и службу (в реестре) и файл с помощью LiveCD.
там еще dll должна быть с теми же именами.
Видимо сам руткит вы убили.
попробуйте sfc /scannow
Alex_Goodwin Видимо сам руткит вы убили.
Но содержимое ветки реестра, приведённое в файле viruskey.txt, восстанавливается. И троянский DNS - тоже прописывается заново.
[Ошибочка, dwshield.log - это от DrWeb'a, подозрения не подтвердились.]
Последний раз редактировалось Leo7; 23.03.2009 в 19:43.
Почитал про руткит, который сидит в MBR: http://www.interface.ru/home.asp?artId=8703 http://www2.gmer.net/mbr/
Вышел в консоль восстановления, грохнул руткит FIXMBR'ом (который меня предупредил о том, что у меня недопустимая или нестандартная загр. запись) вот и всё. Avira теперь пишет, что всё в порядке, руткитов, вирусов и модифицированных файлов нет. Остальные тоже молчат.
Последний раз редактировалось Leo7; 25.03.2009 в 16:32.
Уважаемый(ая) Leo7, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: