-
Junior Member
- Вес репутации
- 53
Либо Rootkit, либо паранойя
На компе твориться нечто весьма странное, блокируется вкладка "драйверы" в Autoruns и кто-то неизвестный хукает каспера. Если первое поведение точно ненормально (раньше этого не было, это точно), то насчёт каспера я не уверен (мало ли что эти извращенцы там могли намутить, вдруг они сами себя хукают). Каспер, естественно, ничего не находит, тоже с доктором вебом. AVZ тоже молчит. Больше напоминает приведение, чем руткит . Ту же тему я поднимал на васме, кто хочет может посмотреть по адресу http://wasm.ru/forum/viewtopic.php?pid=345537#p345537
Но главное, что просмотр ветки, где лежат записи о драйверах проходит нормально через регедит. Но таким образом что-либо искать - самоубийство. Смотрел драйвера и тому подобное через авз, вроде всё нормально.
И ещё, а каспер всегда запускает два процесса авп.ехе?? У меня их два (если смотреть через авз и рооткит анхукер), такое поведение нормально??.
Вложение репорт.тхт - это лог руктит анхукера, вкладка коде хукс
"There will be no more delay!" (Revelation 10)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('acaptuser32.dll','');
DelCLSID('18B0E5C2-99CB-11CF-AXX5-00401C648513');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe','');
QuarantineFile('C:\WINDOWS\system32\w32hk.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ!
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Там в отчёте авз есть информация о том, что в рециклере лежит вирус под видом кейген.ексе. Его можно не опасаться - это мой страрый "друг". Его постоянно приносят на этот комп его пользователи (через флешку). И как им удаётся запустить вирусный экзешиник я ума не приложу, ведь я сам отрубил авторан со всех носителей, кроме СД. Есть подозрение, что эксплорер плевать хотел на мои запреты и тупо запускает авторан. У меня дома ни антивируса ни вообще ничего с этой шайкой связаного и я уже забыл что такое быть заражённым. Последнй раз был полтора года назад, когда у меня соскользнул палец на интер и я запустил вирус. Как пользователям удаётся заводить "зоопарки" на своих машинах???!!!! По-моему, для этого надо долго и упорно тренироваться....
"There will be no more delay!" (Revelation 10)
-
Ждём карантин и новый лог.
-
-
Junior Member
- Вес репутации
- 53
w32hk - это программа из проверенного места, она закрывает все окна во время теста. Она установлена и на другом компе, но симптомы там не наблюдаются. Всё остальное кроме кейген.екске я прислал (сорри, но я удалил кейген до того, как прочитал пост).
И всё же, может вы мне ответите, то что каспер хукнут - это нормально?! А два процесса??? Авз обновил и всё заново проверил.... Пароль на архив - virus
Я отправил карантин, но где это отображается??
"There will be no more delay!" (Revelation 10)
-
Сообщение от
Z3N
Я отправил карантин
Вы бог знает что отправили - какой-то файл с логами в архив затолкали. Сделайте карантин как положено по правилам.
-
-
Junior Member
- Вес репутации
- 53
Я выполнил скрипт, но карантин был пустой. Поэтому я засунул в архив нужный файл вручную. Это и был "ручной" карантин и новый лог. Что мне теперь делать??? А теперь уже ставший классическим вопрос:
И всё же, может вы мне ответите, то что каспер хукнут - это нормально?! А два процесса??? Авз обновил и всё заново проверил....
Пожалуйста, ответите на вопрос.
"There will be no more delay!" (Revelation 10)
-
Сообщение от
AndreyKa
Обновите базы AVZ!
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Где?
-
-
Junior Member
- Вес репутации
- 53
Ну, вот сделал всё как вы говорили, все файлы, что были в папке лог заархивировал и приложил.
"There will be no more delay!" (Revelation 10)
-
Сообщение от
Z3N
Ну, вот сделал всё как вы говорили.
*.... Пожалуйста, не переименовывайте файлы,
загружайте с именами по умолчанию.
Это и на Вас распространяется.
-
-
Junior Member
- Вес репутации
- 53
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Я прекрасно умею читать. И если написано, что лог должен быть в единственном числе, я так и делаю. И так как я сначала прочитал правила, а потом остальное сообщение, то последнее написанное имеет больший приоритет. Читайте внимательно что вы пишете.
На мои вопросы вы так и не ответили, хотя я задал их четыре раза.
Не стоит думать, что если я обратился к вам, то это значит что я ламер. Я крэкер средней руки с солидным стажем. Но вот вирусы не являются моими приоритетами. До этого момента я легко справлялся с ними один. Но этот случай по сложности явно сопоставим с вопросом "Кто убил Кеннеди?".
Большое спасибо за внимание.Ну, вот сделал всё как вы говорили, все файлы, что были в папке лог заархивировал и приложил.
Да, может это вам поможет, немного о себе.
"There will be no more delay!" (Revelation 10)
-
-Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\rkhdrv40.sys','');
QuarantineFile('C:\WINDOWS\system32\hkpscr.dll','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 53
Всё сделал, сейчас удалю бомжур и т.д.
ИМХО посланные файлы не вирусы потому, что длл это из моего института, она идёт с прогой, которая свёртывает окна во время теста. А драйвер это от руктит онхукера. Но вам виднее...
"There will be no more delay!" (Revelation 10)
-
Сообщение от
Z3N
Но вам виднее...
Нам будет виднее, когда мы файлы для анализа получим.
Они действительно безопасные
Что с Вашей проблемой?
-
-
-
-
Junior Member
- Вес репутации
- 53
Удалил бомжур, почистил папки и всё равно (см. приложение)
Наглядное пособие всегда лучше даже самого выразительного текста
Сейчас буду пробовать по-гудвиновскому
Хм, по-моему, слишком уж много лишней информации в логах гмер. Но так как комп не мой - мне всё равно. Надеюсь, что вы что-нибудь найдёте.
Последний раз редактировалось Rene-gad; 27.10.2009 в 11:20.
"There will be no more delay!" (Revelation 10)
-
Вас просили лог по правилам. Сделайте. Загрузчик стандартный меняли? Если нет, то попробуйте это http://www.esagelab.ru/resources.php?s=bootkit_remover
-
-
Junior Member
- Вес репутации
- 53
Я всё сделал по правилам, кроме названия, вроде. Напишите где я ошибся.
В любом случае, запостить я смогу только после выходных. Загрузчик не менял, буду пробовать буткит.
"There will be no more delay!" (Revelation 10)
-
Как на картинке делали? http://virusinfo.info/attachment.php...8&d=1250952535 т.е. лог после нажатия кнопки scan?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Alex_Goodwin
Конечно, могу ещё раз сканировать, но не думаю, что лог будет отличаться.
Всё сделал как на картинке, теперь даже название по-правилам. Сжал немного, чтобы не качали лишнего.
P.S.: Я посмотрел предыдущий лог и он действительно неправильный, извините, я торопился, и где-то ошибся.
Последний раз редактировалось Rene-gad; 27.10.2009 в 11:18.
"There will be no more delay!" (Revelation 10)