-
Junior Member
- Вес репутации
- 52
Неприятный живучий руткит, блокирует сеть, грузит CPU
Добрый день!
I need help (c).
Проблема: сеть недоступна для приложений (сама сеть в порядке, пакеты по ней ходят, сетевые приложения не запускаются, ссылаются на ошибку с WinSock). Постоянно запускаются процессы svchost.dll, загружающие 1 ядро на 100% (можно прибить таскменеджером, через некоторое время возникнет новый). Компьютер "тормозит".
Касперский (лицензия, базы - на момент отключения от сети, полный скан) ничего не нашел, CureIt - чисто.
Дальше по инструкции с одним отклонением - автовосстановление не отключить из-за ошибки (приложен скриншот). AVZ видит код руткита в ntdll и убивает, но после перезагрузки - все по-прежнему. Файл virusinfo_cure.zip - пустой.
Логи приложены. Помогите плз. разобраться. Заранее большое спасибо!
Удачи,
С.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\sdra64.exe','');
DeleteFile('C:\Windows\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи ...
-
-
Junior Member
- Вес репутации
- 52
Спасибо за инструкции, стало полегче. Отчет:
1. При попытке перенести файл sdra64.exe в карантин AVZ написал красным "Ошибка прямого доступа к файлу...", карантин остался пустым. Поэтому прислать не могу.
2. Тем не менее, файл удалился, после перезагрузки сеть появилась, компьютер не тормозит. Пишу с него.
3. Код руткита в ntdll по-прежнему определяется, убивается и после загрузки опять определяется. Логи приложены.
4. Опция автовосстановления ошибки не выдает, галочки снимаются-подтверждаются, но AVZ видит восстановление как "включено"...
Заранее спасибо!
Удачи,
С.
P.S. AVZ видит потенциальную опасность "разрешено подключение удаленного помощника", но в панели управления удаленный помощник отключен.
Последний раз редактировалось stumpf; 20.02.2010 в 18:21.
Причина: Заметил еще вот что...
-
в логах ничего подозрительного ...
-
-
Junior Member
- Вес репутации
- 52
Спасибо большое за помощь!