Показано с 1 по 9 из 9.

HELP! Руткит на Win2003 SP2 64-bit (заявка № 44938)

  1. #1
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    9
    Вес репутации
    55

    Exclamation HELP! Руткит на Win2003 SP2 64-bit

    Здравствуйте!
    На сервере поселился руткит, никак не могу с ним справиться.
    NOD32, AVPTool, Dr. Web CureIt! ничего не видят.
    Загружался с CD, через консоль восстанавливал загрузочную запись на диске, вручную распаковывал с дистрибутива системные файлы, но, видимо, что-то упустил. При первой же загрузке устанавливается какой-то драйвер и все опять "в ажуре". Отловить откуда и что устанавливается не смог.
    Логи согласно ПРАВИЛАМ прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('Beep.sys','');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи В ЛОКАЛЬНОЙ СЕССИИ.
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    ssh
    1. Прочтите: http://www.z-oleg.com/secur/avz_doc/faq_14.htm
    2. У AVZ нет драйверов под x64 так что, если бы руткит был, то вряд ли она могла помочь.

  5. #4
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    9
    Вес репутации
    55
    Скрипт выполнил - он создал пустую папку. Карантин пустой!
    Логи сделал, прилагаю.

    Спасибо AndreyKa за подсказку, но я внимательно ознакомился с документацией AVZ до того, как решил побеспокоить многоуважаемую публику. Взгляните на hijackthis.log
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 03.05.2009 в 11:14.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от ssh Посмотреть сообщение
    Взгляните на hijackthis.log
    ...и найдите десять отличий. Что там не так, если не обращать внимания на то, что файлы служб ищутся не там?

  7. #6
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    9
    Вес репутации
    55
    Цитата Сообщение от pig Посмотреть сообщение
    ...и найдите десять отличий. Что там не так, если не обращать внимания на то, что файлы служб ищутся не там?
    Может тогда мне кто-нибудь объяснит, что означает Unknown owner и file missing, если служба запущена, файл служб находится там, где и должен быть, а HiJackThis упорно не хочет их сопоставить?

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Unknown owner и file missing
    Первое это неизвестный источник/владелец файла, file missing говорит о том, что либо файл отсутствует/запущен с параметрами командной строки или блокирует чтение...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Ответ:
    Цитата Сообщение от http://technet.microsoft.com/ru-ru/magazine/2007.04.desktopfiles.aspx
    Windows [x64] предоставляет совершенно новый слой эмуляции, называющийся Windows On Windows (WOW), чтобы у этих 32-разрядных приложений было отдельное представление операционной системы – как будто выполнение осуществляется в 32-разрядной версии Windows. В WOW приложения x86 видят Program Files (X86) как просто Program Files. Аналогично, %WINDIR%\SysWOW64 виден приложениям x86 как %WINDIR%\System32, а раздел системного реестра HKLM\SOFTWARE\Wow6432Node как HKLM\SOFTWARE.

  10. #9
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    9
    Вес репутации
    55
    Всем спасибо, отдельное AndreyKa.

    Подвожу итог:

    Поскольку HiJackThis 32-разрядная версия, то вместо реального %WINDIR%\System32 она смотрит в %WINDIR%\SysWOW64. Естественно файлов служб там нет, отсюда file missing и, как следствие, Unknown owner.
    AVZ по той же причине не находит C:\WINDOWS\system32\ntoskrnl.exe.

    ВЫВОД: Система чистая, а причина проблем, которые побудили меня "копать" скорее всего в некорректном драйвере какого-то устройства.

    Еще раз всем спасибо.

  • Уважаемый(ая) ssh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемы Win2003
      От sorenkzn в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.01.2010, 13:17
    2. win2003 SPI/LSP
      От Powl в разделе Windows для опытных пользователей
      Ответов: 4
      Последнее сообщение: 07.06.2009, 12:34
    3. Win2003 R2 Ru-Подозрение на руткит
      От teg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.05.2009, 15:27
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. VpN на win2003 ser
      От nvhost в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.12.2008, 23:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01508 seconds with 20 queries