-
Junior Member
- Вес репутации
- 53
Подозрение на руткит. Подскажите, что делать
На работе не поборол BackDoor.Tdss.565. Снес винду и поставил заново. Там же пользовался флешкой. Принес флешку домой и поздно спохватился-дома хватанул вирусняка, наверное. В этот же момент переставлял firewall-сменил outpost 2009 на ESET. ESET стал ругаться , что svchost.exe лезет в инет па такому то ip адресу. скачал dr. web cure it-проверил-система чистая. (На компе стоят winxp sp3 (lic) и win7 (сборка 7600)-проверял зараженную как мне кажется win XP из под семерки. Проверка ESETом так же не дала результатов. НО! svchost.exe лезет же в инет!
как быть? подскажите
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
миднайт
извините, что сразу не сделал так как надо.
OS:winxp sp3, лицензия, все обновления. в папке TMP иногда появляется dll с неудобноваримым названием. переименовать себя дает, удалить-нет.
надеюсь на вашу помощь
-
-
-
Junior Member
- Вес репутации
- 53
-
Есть одно нехорошее подозрение.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\*.tmp','');
QuarantineFile('%WinDir%\ibm*.dll','');
QuarantineFile('%WinDir%\ibm*.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте утилиту TDSSKiller http://www.secureblog.info/files/TDSSKiller.rar
Сохраните текст ниже как run.bat в туже папку где находится TDSSKiller.exe (переименуйте файл именно в это имя)
Код:
TDSSKiller.exe -l C:\log.txt -v
Все сканы делайте с правами администратора. Запустите run.bat
Как отработает, сформируется лог-файл log.txt в корне диска C.
Прикрепите его к сообщению.
Повторите лог Gmer.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
миднайт
Есть одно нехорошее подозрение.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
...
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
сделал.
Файл сохранён как 091128_204411_quarantine_4b11616b8649e.zip
Размер файла 426099
MD5 14238531f93127b03b682212faaa0d6f
могу включить восстановление системы?
-
Загрузитесь с LiveCD.
Файлы C:\WINDOWS\system32\Drivers\Disk.sys
C:\WINDOWS\system32\Drivers\atapi.sys скопируйте в отдельную папку, затем замените на чистые из вашего дистрибутива. Из этой новой папки при загрузке в нормальном режиме добавьте файлы Disk.sys и atapi.sys в карантин по правилам и загрузите по красной ссылке вверху темы.
Еще раз просканируйтесь киллером http://support.kaspersky.ru/viruses/...?qid=208636926
Скачайте и запустите из отдельной папки утилиту http://www2.gmer.net/mbr/mbr.exe
Файл отчета mbr.log прикрепите к сообщению. + повторите лог gmer.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
миднайт
Загрузитесь с LiveCD.
...
сделал.
в карантин файлы с помощью AVZ не помещаются, хотя в логах пишется что скопированы, поэтому сделал, как описано в пункте 7 как описано в пункте 7
-
Junior Member
- Вес репутации
- 53
Сообщение от
миднайт
Загрузитесь с LiveCD.
Файлы C:\WINDOWS\system32\Drivers\Disk.sys
C:\WINDOWS\system32\Drivers\atapi.sys скопируйте в отдельную папку, затем замените на чистые из вашего дистрибутива. Из этой новой папки при загрузке в нормальном режиме добавьте файлы Disk.sys и atapi.sys в карантин по правилам и загрузите по красной ссылке вверху темы.
Файл сохранён как 091129_121728_quarantine_4b123c28708b6.zip
Размер файла 75935
MD5 890ff80594c477f0e76fd35e012aa860
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
в логах чисто.
я убрал правила Firewall, запрещающие лезть процессу в инет-пока тихо.
может, какое либо из вышеперечисленных действий помогло?
в любом случае спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-