Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Либо Rootkit, либо паранойя (заявка № 57760)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53

    Question Либо Rootkit, либо паранойя

    На компе твориться нечто весьма странное, блокируется вкладка "драйверы" в Autoruns и кто-то неизвестный хукает каспера. Если первое поведение точно ненормально (раньше этого не было, это точно), то насчёт каспера я не уверен (мало ли что эти извращенцы там могли намутить, вдруг они сами себя хукают). Каспер, естественно, ничего не находит, тоже с доктором вебом. AVZ тоже молчит. Больше напоминает приведение, чем руткит . Ту же тему я поднимал на васме, кто хочет может посмотреть по адресу http://wasm.ru/forum/viewtopic.php?pid=345537#p345537
    Но главное, что просмотр ветки, где лежат записи о драйверах проходит нормально через регедит. Но таким образом что-либо искать - самоубийство. Смотрел драйвера и тому подобное через авз, вроде всё нормально.
    И ещё, а каспер всегда запускает два процесса авп.ехе?? У меня их два (если смотреть через авз и рооткит анхукер), такое поведение нормально??.
    Вложение репорт.тхт - это лог руктит анхукера, вкладка коде хукс
    "There will be no more delay!" (Revelation 10)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    QuarantineFile('acaptuser32.dll','');
    DelCLSID('18B0E5C2-99CB-11CF-AXX5-00401C648513');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe','');
     QuarantineFile('C:\WINDOWS\system32\w32hk.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Обновите базы AVZ!
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Там в отчёте авз есть информация о том, что в рециклере лежит вирус под видом кейген.ексе. Его можно не опасаться - это мой страрый "друг". Его постоянно приносят на этот комп его пользователи (через флешку). И как им удаётся запустить вирусный экзешиник я ума не приложу, ведь я сам отрубил авторан со всех носителей, кроме СД. Есть подозрение, что эксплорер плевать хотел на мои запреты и тупо запускает авторан. У меня дома ни антивируса ни вообще ничего с этой шайкой связаного и я уже забыл что такое быть заражённым. Последнй раз был полтора года назад, когда у меня соскользнул палец на интер и я запустил вирус. Как пользователям удаётся заводить "зоопарки" на своих машинах???!!!! По-моему, для этого надо долго и упорно тренироваться....
    "There will be no more delay!" (Revelation 10)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Ждём карантин и новый лог.

  6. #5
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    w32hk - это программа из проверенного места, она закрывает все окна во время теста. Она установлена и на другом компе, но симптомы там не наблюдаются. Всё остальное кроме кейген.екске я прислал (сорри, но я удалил кейген до того, как прочитал пост).
    И всё же, может вы мне ответите, то что каспер хукнут - это нормально?! А два процесса??? Авз обновил и всё заново проверил.... Пароль на архив - virus
    Я отправил карантин, но где это отображается??
    "There will be no more delay!" (Revelation 10)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Z3N Посмотреть сообщение
    Я отправил карантин
    Вы бог знает что отправили - какой-то файл с логами в архив затолкали. Сделайте карантин как положено по правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Я выполнил скрипт, но карантин был пустой. Поэтому я засунул в архив нужный файл вручную. Это и был "ручной" карантин и новый лог. Что мне теперь делать??? А теперь уже ставший классическим вопрос:
    И всё же, может вы мне ответите, то что каспер хукнут - это нормально?! А два процесса??? Авз обновил и всё заново проверил....
    Пожалуйста, ответите на вопрос.
    "There will be no more delay!" (Revelation 10)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Обновите базы AVZ!
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
    Где?

  10. #9
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Ну, вот сделал всё как вы говорили, все файлы, что были в папке лог заархивировал и приложил.
    "There will be no more delay!" (Revelation 10)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Z3N Посмотреть сообщение
    Ну, вот сделал всё как вы говорили.
    *.... Пожалуйста, не переименовывайте файлы, загружайте с именами по умолчанию.
    Это и на Вас распространяется.

  12. #11
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
    Я прекрасно умею читать. И если написано, что лог должен быть в единственном числе, я так и делаю. И так как я сначала прочитал правила, а потом остальное сообщение, то последнее написанное имеет больший приоритет. Читайте внимательно что вы пишете.

    На мои вопросы вы так и не ответили, хотя я задал их четыре раза.
    Не стоит думать, что если я обратился к вам, то это значит что я ламер. Я крэкер средней руки с солидным стажем. Но вот вирусы не являются моими приоритетами. До этого момента я легко справлялся с ними один. Но этот случай по сложности явно сопоставим с вопросом "Кто убил Кеннеди?".
    Большое спасибо за внимание.Ну, вот сделал всё как вы говорили, все файлы, что были в папке лог заархивировал и приложил.
    Да, может это вам поможет, немного о себе.
    "There will be no more delay!" (Revelation 10)

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\Drivers\rkhdrv40.sys','');
     QuarantineFile('C:\WINDOWS\system32\hkpscr.dll','');
    BC_ImportAll;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Удалите Bonjour.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  14. #13
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Всё сделал, сейчас удалю бомжур и т.д.
    ИМХО посланные файлы не вирусы потому, что длл это из моего института, она идёт с прогой, которая свёртывает окна во время теста. А драйвер это от руктит онхукера. Но вам виднее...
    "There will be no more delay!" (Revelation 10)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Z3N Посмотреть сообщение
    Но вам виднее...
    Нам будет виднее, когда мы файлы для анализа получим.
    Они действительно безопасные

    Что с Вашей проблемой?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385

  17. #16
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Удалил бомжур, почистил папки и всё равно (см. приложение)

    Наглядное пособие всегда лучше даже самого выразительного текста

    Сейчас буду пробовать по-гудвиновскому

    Хм, по-моему, слишком уж много лишней информации в логах гмер. Но так как комп не мой - мне всё равно. Надеюсь, что вы что-нибудь найдёте.
    Последний раз редактировалось Rene-gad; 27.10.2009 в 11:20.
    "There will be no more delay!" (Revelation 10)

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Вас просили лог по правилам. Сделайте. Загрузчик стандартный меняли? Если нет, то попробуйте это http://www.esagelab.ru/resources.php?s=bootkit_remover

  19. #18
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Я всё сделал по правилам, кроме названия, вроде. Напишите где я ошибся.
    В любом случае, запостить я смогу только после выходных. Загрузчик не менял, буду пробовать буткит.
    "There will be no more delay!" (Revelation 10)

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Как на картинке делали? http://virusinfo.info/attachment.php...8&d=1250952535 т.е. лог после нажатия кнопки scan?

  21. #20
    Junior Member Репутация
    Регистрация
    19.10.2009
    Сообщений
    11
    Вес репутации
    53
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Как на картинке делали? http://virusinfo.info/attachment.php...8&d=1250952535 т.е. лог после нажатия кнопки scan?
    Конечно, могу ещё раз сканировать, но не думаю, что лог будет отличаться.

    Всё сделал как на картинке, теперь даже название по-правилам. Сжал немного, чтобы не качали лишнего.
    P.S.: Я посмотрел предыдущий лог и он действительно неправильный, извините, я торопился, и где-то ошибся.
    Последний раз редактировалось Rene-gad; 27.10.2009 в 11:18.
    "There will be no more delay!" (Revelation 10)

  • Уважаемый(ая) Z3N, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 19.09.2011, 15:06
    2. Либо 5, либо 15 минут...
      От Exb в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.01.2011, 02:01
    3. Ответов: 8
      Последнее сообщение: 05.11.2008, 13:48
    4. explorer.exe либо убит либо заблокирован
      От Asteros в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.07.2008, 13:03
    5. Ответов: 2
      Последнее сообщение: 12.03.2008, 23:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00722 seconds with 19 queries