Показано с 1 по 10 из 10.

Отладчик системного процесса + RootKit (заявка № 44608)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.08.2008
    Сообщений
    5
    Вес репутации
    41

    Exclamation Отладчик системного процесса + RootKit

    Добрый вечер!

    К сожалению, суть проблемы до конца не ясна, поэтому изложу как было:

    Подхватил сегодня вирус (утилита CureIT! удалила его как Trojan.WinLock.55) - операционная система блокировалась, любые действия были не доступны, т.к. настоятельно предлагалось отправить СМС на указанный номер, чтобы можно было разблокировать систему.

    Т.к. никаких действий совершить не получалось (кроме reboot), пришлось отправить СМС (~ 300 руб.), после чего был получен код для разблокирования

    При проверке, AVZ ругается на внезапно появившийся отладчик системного процесса - explorer.exe, кроме того, появился некий троян, который утилита "подозревает" как KeyLogger и, который, CureIT! не видит.

    Также, если это как-то поможет, хочу заметить, что при выполнении скрипта лечения/карантина в AVZ с включенным антивирусом, у AVZ появляются подозрения на наличие RootKit (при этом драйвер не загружается, т.к. антивирус блокирует указанный файл).

    Огромная просьба, помогите разобраться, т.к. есть опасение, что предложение "отправить СМС для разблокирования" как-то связано с появлением всех вышеуказанных проблем.

    Заранее спасибо.

    P.S. Возможно, несколько путанно объяснил суть проблемы... Никаких внешних проявлений, кроме "СМС" и появления подозрений при выполннии скрипта, пока заметить не удалось.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe','');
     DeleteFile('D:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('D:\Program Files\Microsoft Common\svchost.exe');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{42F2C9BA-614F-47C0-B3E3-ECFD34EED658}');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteRepair(9);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44608

    3. Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.08.2008
    Сообщений
    5
    Вес репутации
    41
    Карантин отправил. Выкладываю логи после выполнения скрипта.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Ничего зловредного в логах нет. Что с проблемами?
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.08.2008
    Сообщений
    5
    Вес репутации
    41
    Предложение по СМС не появляется с момента удаления Trojan.WinLock.55

    Что касается подозрения на наличие RootKit, то для этого необходимо попробовать выполнить скрипт лечения при включенном антивирусе.

    Добавлено через 3 минуты

    При включенном антивирусе (Symantec) происходит следующее:

    Троянец в D:\WINDOWS\system32\Drivers\utg4njgy.sys
    Последний раз редактировалось Cyanide; 27.04.2009 в 01:50. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от Cyanide Посмотреть сообщение
    При включенном антивирусе (Symantec) происходит следующее:

    Троянец в D:\WINDOWS\system32\Drivers\utg4njgy.sys
    Это драйвер AVZ.

    Добавлено через 35 секунд

    Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
    Последний раз редактировалось Aleksandra; 27.04.2009 в 01:55. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.08.2008
    Сообщений
    5
    Вес репутации
    41
    Если возможно отвлечь Вас еще на пару минут - скрипт сейчас выполняется, после выполнения выложу "Поиск маскировки процессов и драйверов".

    Добавлено через 24 минуты

    Файл сохранён как 090427_022045_virusinfo_files_HOME_49f4de3de278e.z ip
    Размер файла 2354039
    MD5 34847157638dca61b4d184c95e16974e

    Добавлено через 11 минут

    И вот еще вопрос возник:

    При просмотре автокарантина обнаружил следующее - Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\msvcrt57.dll)

    Вопрос в следующем: ранее данный файл находился под подозрением как KeyLogger или троян. Так почему он снова появился? Если при выполнении скрипта он (файл), якобы, был удален.
    Последний раз редактировалось Cyanide; 27.04.2009 в 02:32. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Похоже, что файла как раз нет (ошибка карантина). А вот откуда ссылка на него вылезла - это интересно. Поищите в AVZ по реестру упоминание о msvcrt57.dll.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от Cyanide Посмотреть сообщение
    Файл сохранён как 090427_022045_virusinfo_files_HOME_49f4de3de278e.z ip
    Размер файла 2354039
    MD5 34847157638dca61b4d184c95e16974e
    http://virusinfo.info/showpost.php?p...&postcount=879
    Наша служба, будто сердце, отдыха не знает никогда.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.fra
      2. d:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.Small.hz ( DrWEB: Trojan.DownLoad.5244, BitDefender: Gen:Trojan.Heur.GM.4004408108 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Cyanide, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Отладчик процесса
      От StarAV в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.04.2010, 07:56
    2. отладчик процесса explorer
      От barmaleus в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 12.08.2009, 15:32
    3. отладчик процесса
      От paular в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.04.2009, 11:42
    4. Отладчик системного процесса
      От Sintetica в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:21
    5. Обнаружен отладчик системного процесса
      От sergunz в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.04.2008, 12:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01109 seconds with 22 queries