Показано с 1 по 19 из 19.

Руткит у меня!!! (заявка № 77937)

  1. #1
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59

    Thumbs up Руткит у меня!!!

    У меня Руткит. Комп загружается только в "режиме отладки"...чуть поработает и все виснет. Руткит обнаруживает Аваст и Касперский VRTOOL - C:\WINDOWS\system32\drivers\lbrtfdc.sys. Не удаляется ничем. Касперский завис.
    Полечите плиз!
    Кроме присланных логов ест еще и virusinfo_syscure.zip
    Последний раз редактировалось PavelA; 08.05.2010 в 21:22. Причина: Пустой карантин удалил

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.09.2009
    Сообщений
    619
    Вес репутации
    160
    virusinfo_cure.zip -- это карантин. Его нужно удалить, а вместо него прикрепить virusinfo_syscure.zip

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - обновите базы AVZ
    - Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip
    - Сделайте лог Gmer

  5. #4
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    Спасибо за внимание!
    1. Базы обновила
    2. Логи новые прилагаю
    3. Гмер не отработал - выскочило окно...память не может быть рид...ошибка приложения (может потому, что я в режиме отладки загрузилась - по другому не грузится система)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\86164183.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\d3487prt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\d3487bus.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\d347prt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\d347bus.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\47prt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\47bus.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\3547prt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\3547bus.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\347prt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\347bus.sys','');
     QuarantineFile('C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe','');
     QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lbrtfdc.SYS','');
     DeleteFile('C:\WINDOWS\system32\drwat32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','Dr.Watson');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    Последний раз редактировалось polword; 08.05.2010 в 21:03.

  7. #6
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    Сделала скрипты.
    Прогнала CureIt! Ничего не нашел!
    Сделала логи. Высылаю.
    Карантин зип с паролем virus отправила.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    C:\WINDOWS\System32\Drivers\lbrtfdc.SYS замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    Прочитала сообщение thyrex. Даже сходила в ДЛЛкэш, заменила lbrtfdc.SYS ...но где гарантия что и он не заражен?
    Короче, ситуация такая. Система загружается. Рабочий стол появляется и все висит 5 минут. Потом идет звуковое приветствие WIN XP и все начинает работать.
    У меня есть образ С: и на диске отдельно и на соседнем разделе. Есть Акронис. Не могу восстановить образ в С:, т.к. ухожу в перезагруз и там уже Акронис пишет:
    PCI: Device 00:1F.1 not available becouse of resourse collision.
    И висит. Чуть раньше Акронис все же вылезал, но писал, что ЖЕСТКИХ ДИСКОВ НЕТ ВООБЩЕ!!!
    Еще: в диспетчере устройств висят восклицательные знаки на:
    1. Звуковой дешифратор DRM ядра системы
    2. Подавитель акустического эхо ядра системы
    3. Синтезатор DLS ядра системы
    "Windows не удалось запустить это устройство, поскольку информация о его конфигурации в реестре неполна или повреждена. (Код 19)"
    Чета меня уже подташнивает от всего ...помогите, пожалуйста

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте файл во вложении, удалите лишнее расширение .txt и внесите информацию в реестр по двойному клику левой кнопкой мыши

    Что-либо изменилось в лучшую сторону?

    Новые логи сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    А пошагово, пожалуйста!
    Скачала. Файл "блокнотный". Не знаю где удалить расширение .txt. В свойствах только .reg. И ......ну не знаю я...

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Переименуйте файл в Проводнике или файловом менеджере
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    в Проводнике или файловом менеджере ..................кто это?
    Рыдаю я!!!!!!!!!!!!
    Куда ткнуть пальцем? Тока без шуток, пожалуйста!!!!!!!!!!
    lbrtfdc[1][1].reg - вот его имечко...как переименовать?
    а по двойному клику он просто открывается как блокнот.....
    Последний раз редактировалось proxlada; 09.05.2010 в 13:22.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пойдем другим путем

    Скачайте файл во вложении, разархивируйте, а потом двойной клик мышью на распакованном файле
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    Да я уже и блокнотный попробовала - в файл реестра переименовался, но не встал, т.к. "Не удается импортировать бла-бла-бла...т.к. указанный файл не является файлом данных реестра. Возможен импорт только двоичных файлов данных реестра".
    А Ваш последний зип - к нему пришлось добавлять хвост .reg, чтобы он стал похож на зеленый кубик..... Результат тот же...не встал... О, как! Не бросайте!!!!!!
    Последний раз редактировалось proxlada; 09.05.2010 в 13:54.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Второй способ попробовали?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    Ну...да..да...ничего не получается...думаете дело в этом файле? Я его видела в зараженном виде - их было два....один (нормальный, я полагаю) был старше по возрасту и название его сменилось ...lbrtfdc.bak и новый, созданный в момент заражения...назывался как порядочный - lbrtfdc. После выполнения скриптов ...см.выше...гада выдрали...расширение bak я ручками убрала у "нормального"........Теперь имею что имею...

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от proxlada Посмотреть сообщение
    Еще: в диспетчере устройств висят восклицательные знаки на:
    1. Звуковой дешифратор DRM ядра системы
    2. Подавитель акустического эхо ядра системы
    3. Синтезатор DLS ядра системы
    Попробуйте удалить эти устройства в диспетчере, чтобы после перезагрузки система их обнаружила и установила заново
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    41
    Вес репутации
    59
    Вооооот! Спасибо! Зашла в сохраненный архив .tib, содрала оттуда все из папки с драйверами....скопировала в папку драйверов на С:....удалила устройства с вопросами, перезагрузилась.....приветственная музыка всплыла вместе с рабочим столом и знаки вопросов в диспетчере пропали. Зависов нет. Хочу еще попробовать все-таки воссоздать образ в С:... ежели не получится - я с вами!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\lbrtfdc.sys - Rootkit.Win32.Bubnix.s ( DrWEB: Trojan.WinSpy.713, BitDefender: Backdoor.Generic.351368, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) proxlada, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. Ответов: 7
      Последнее сообщение: 01.08.2010, 17:14
    3. У меня завёлся руткит
      От Islam013 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.11.2009, 10:25
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00282 seconds with 19 queries