Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Либо Rootkit, либо паранойя (заявка № 57760)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27

    Question Либо Rootkit, либо паранойя

    На компе твориться нечто весьма странное, блокируется вкладка "драйверы" в Autoruns и кто-то неизвестный хукает каспера. Если первое поведение точно ненормально (раньше этого не было, это точно), то насчёт каспера я не уверен (мало ли что эти извращенцы там могли намутить, вдруг они сами себя хукают). Каспер, естественно, ничего не находит, тоже с доктором вебом. AVZ тоже молчит. Больше напоминает приведение, чем руткит . Ту же тему я поднимал на васме, кто хочет может посмотреть по адресу http://wasm.ru/forum/viewtopic.php?pid=345537#p345537
    Но главное, что просмотр ветки, где лежат записи о драйверах проходит нормально через регедит. Но таким образом что-либо искать - самоубийство. Смотрел драйвера и тому подобное через авз, вроде всё нормально.
    И ещё, а каспер всегда запускает два процесса авп.ехе?? У меня их два (если смотреть через авз и рооткит анхукер), такое поведение нормально??.
    Вложение репорт.тхт - это лог руктит анхукера, вкладка коде хукс
    Вложения Вложения
    "There will be no more delay!" (Revelation 10)

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    QuarantineFile('acaptuser32.dll','');
    DelCLSID('18B0E5C2-99CB-11CF-AXX5-00401C648513');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe','');
     QuarantineFile('C:\WINDOWS\system32\w32hk.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Обновите базы AVZ!
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Там в отчёте авз есть информация о том, что в рециклере лежит вирус под видом кейген.ексе. Его можно не опасаться - это мой страрый "друг". Его постоянно приносят на этот комп его пользователи (через флешку). И как им удаётся запустить вирусный экзешиник я ума не приложу, ведь я сам отрубил авторан со всех носителей, кроме СД. Есть подозрение, что эксплорер плевать хотел на мои запреты и тупо запускает авторан. У меня дома ни антивируса ни вообще ничего с этой шайкой связаного и я уже забыл что такое быть заражённым. Последнй раз был полтора года назад, когда у меня соскользнул палец на интер и я запустил вирус. Как пользователям удаётся заводить "зоопарки" на своих машинах???!!!! По-моему, для этого надо долго и упорно тренироваться....
    "There will be no more delay!" (Revelation 10)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Ждём карантин и новый лог.

  6. #5
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    w32hk - это программа из проверенного места, она закрывает все окна во время теста. Она установлена и на другом компе, но симптомы там не наблюдаются. Всё остальное кроме кейген.екске я прислал (сорри, но я удалил кейген до того, как прочитал пост).
    И всё же, может вы мне ответите, то что каспер хукнут - это нормально?! А два процесса??? Авз обновил и всё заново проверил.... Пароль на архив - virus
    Я отправил карантин, но где это отображается??
    "There will be no more delay!" (Revelation 10)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Z3N Посмотреть сообщение
    Я отправил карантин
    Вы бог знает что отправили - какой-то файл с логами в архив затолкали. Сделайте карантин как положено по правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Я выполнил скрипт, но карантин был пустой. Поэтому я засунул в архив нужный файл вручную. Это и был "ручной" карантин и новый лог. Что мне теперь делать??? А теперь уже ставший классическим вопрос:
    И всё же, может вы мне ответите, то что каспер хукнут - это нормально?! А два процесса??? Авз обновил и всё заново проверил....
    Пожалуйста, ответите на вопрос.
    "There will be no more delay!" (Revelation 10)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Обновите базы AVZ!
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
    Где?

  10. #9
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Ну, вот сделал всё как вы говорили, все файлы, что были в папке лог заархивировал и приложил.
    Вложения Вложения
    "There will be no more delay!" (Revelation 10)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Z3N Посмотреть сообщение
    Ну, вот сделал всё как вы говорили.
    *.... Пожалуйста, не переименовывайте файлы, загружайте с именами по умолчанию.
    Это и на Вас распространяется.

  12. #11
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
    Я прекрасно умею читать. И если написано, что лог должен быть в единственном числе, я так и делаю. И так как я сначала прочитал правила, а потом остальное сообщение, то последнее написанное имеет больший приоритет. Читайте внимательно что вы пишете.

    На мои вопросы вы так и не ответили, хотя я задал их четыре раза.
    Не стоит думать, что если я обратился к вам, то это значит что я ламер. Я крэкер средней руки с солидным стажем. Но вот вирусы не являются моими приоритетами. До этого момента я легко справлялся с ними один. Но этот случай по сложности явно сопоставим с вопросом "Кто убил Кеннеди?".
    Большое спасибо за внимание.Ну, вот сделал всё как вы говорили, все файлы, что были в папке лог заархивировал и приложил.
    Да, может это вам поможет, немного о себе.
    "There will be no more delay!" (Revelation 10)

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    -Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\Drivers\rkhdrv40.sys','');
     QuarantineFile('C:\WINDOWS\system32\hkpscr.dll','');
    BC_ImportAll;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Удалите Bonjour.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  14. #13
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Всё сделал, сейчас удалю бомжур и т.д.
    ИМХО посланные файлы не вирусы потому, что длл это из моего института, она идёт с прогой, которая свёртывает окна во время теста. А драйвер это от руктит онхукера. Но вам виднее...
    "There will be no more delay!" (Revelation 10)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Z3N Посмотреть сообщение
    Но вам виднее...
    Нам будет виднее, когда мы файлы для анализа получим.
    Они действительно безопасные

    Что с Вашей проблемой?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359

  17. #16
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Удалил бомжур, почистил папки и всё равно (см. приложение)

    Наглядное пособие всегда лучше даже самого выразительного текста

    Сейчас буду пробовать по-гудвиновскому

    Хм, по-моему, слишком уж много лишней информации в логах гмер. Но так как комп не мой - мне всё равно. Надеюсь, что вы что-нибудь найдёте.
    Изображения Изображения
    Вложения Вложения
    • Тип файла: log log.log (7.6 Кб, 6 просмотров)
    Последний раз редактировалось Rene-gad; 27.10.2009 в 11:20.
    "There will be no more delay!" (Revelation 10)

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Вас просили лог по правилам. Сделайте. Загрузчик стандартный меняли? Если нет, то попробуйте это http://www.esagelab.ru/resources.php?s=bootkit_remover

  19. #18
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Я всё сделал по правилам, кроме названия, вроде. Напишите где я ошибся.
    В любом случае, запостить я смогу только после выходных. Загрузчик не менял, буду пробовать буткит.
    "There will be no more delay!" (Revelation 10)

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Как на картинке делали? http://virusinfo.info/attachment.php...8&d=1250952535 т.е. лог после нажатия кнопки scan?

  21. #20
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Как на картинке делали? http://virusinfo.info/attachment.php...8&d=1250952535 т.е. лог после нажатия кнопки scan?
    Конечно, могу ещё раз сканировать, но не думаю, что лог будет отличаться.

    Всё сделал как на картинке, теперь даже название по-правилам. Сжал немного, чтобы не качали лишнего.
    P.S.: Я посмотрел предыдущий лог и он действительно неправильный, извините, я торопился, и где-то ошибся.
    Вложения Вложения
    • Тип файла: zip gmer.zip (20.4 Кб, 5 просмотров)
    Последний раз редактировалось Rene-gad; 27.10.2009 в 11:18.
    "There will be no more delay!" (Revelation 10)

  • Уважаемый(ая) Z3N, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 19.09.2011, 15:06
    2. Либо 5, либо 15 минут...
      От Exb в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.01.2011, 02:01
    3. Ответов: 8
      Последнее сообщение: 05.11.2008, 13:48
    4. explorer.exe либо убит либо заблокирован
      От Asteros в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.07.2008, 13:03
    5. Ответов: 2
      Последнее сообщение: 12.03.2008, 23:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01034 seconds with 22 queries