Подозрение на Руткит
Подозрение возникло после того, как без видимых причин во время работы отказала мышь. После ребута ничего не изменилаось, но возникла одна особенность- теперь комп сам перегружался время от времени. Поскольку я недавно лечил на этом сайте порнобанер-вымогатель, я решил проверить систему с помошью утилит, которые мне здесь советовали. Проверил систему докторовебом Куритом. ничего не было найдено. Мой антивир тоже молчал. Ругнулся только Gmer. Логи от AVZ и Gmera прилагаются.
Последний раз редактировалось pig; 04.04.2010 в 23:21. Причина: карантин в теме неуместен
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сохраните текст ниже как cleanup.bat в ту же папку, где находится xthmeh1g.exe (gmer)
И запустите cleanup.bat.Код:xthmeh1g.exe -del service bdhhjzka xthmeh1g.exe -del file "C:\WINDOWS\system32\xdzktyl.dll" xthmeh1g.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bdhhjzka" xthmeh1g.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bdhhjzka" xthmeh1g.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bdhhjzka" xthmeh1g.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл исполнил, лог прилагается. По всей видимости все прошло успешно.
Лог чист.
Устанавливайте обновления на систему. Иначе Кидо снова пожалует
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Не все так гладко, как хотелось- мышь опять отвалилась. Есть ненулевой шанс, что это физическая проблема, но совпадение с руткитом и физикой одновременно настораживает.
Кидо не нарушает работу мыши
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Мышь, вохзможно, повреждена физически. Пока не установил. Однако машина сама собой уходит в ребут и с завидной регулярностью выскакивают окошки с сообщением о том, что память не может быть read. Ребут каждый раз провождается чекдиском, будто трубалось питание. Странно как то.
Выполняли?
Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1Сообщение от thyrex
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, обновления поставлены. Лог сделал. Проверяю новую мышь.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: chcqseazd Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4850:TCP"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Последний раз редактировалось thyrex; 07.04.2010 в 22:08.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипт выполнил, лог прилагается. А мышка по всей видимости глючила сама по себе.
Порядок
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все норм, спасибо. Правда у меня ComboFix с ключом /u не удалился, только /uninstall
Уважаемый(ая) raintear, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
