Код руткита в функции CopyFileExA

**alex-2** · 17.05.2010, 08:14

Здравствуйте.
Нуждаюсь в Вашей помощи.
1.Лишился админских прав.
2.Все браузеры выдают ошибку при подключении к инету.Невозиожно связаться с сервером.Говорю с Вами с портативной версии .
3.Не могу отключить временную защиту нод 32.Ни в настройках,ни из трея.
4.Не могу скачать др.вэб курелт.Не загружается.
5.Кое что из первого скана avz :
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (64) перехвачена, метод APICodeHijack.JmpTo[10001B66]
Лог длинный.Здесь не всё.
6.Проводил в системе проверку касперремовалтул.Вырубился и каспер.Утилита антирут.от аваста нашла в систем волюме хвосты - Уудалил. После этого удалось войти в безопасный режим и поработать с док.вэб курелт,но ничего не нашли.
Скачал и проверил комп утилитой салити киллер от касперского.
С утра запустились браузеры.Посмотрите пожалуйста логи.Что это было и осталось ли в системе?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 17.05.2010, 08:55

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 SetAVZPMStatus(true);
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArKrn.sys','');
 DeleteService('aswArKrn');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArKrn.sys');
 BC_ImportAll;
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**alex-2** · 17.05.2010, 22:07

Сообщение от polword

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 SetAVZPMStatus(true);
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArKrn.sys','');
 DeleteService('aswArKrn');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aswArKrn.sys');
 BC_ImportAll;
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

Блестяще маэстро ! Скрипт выполнил. Комп выпадает в бсод(0хD1...C1) до загрузки пароля ! Бсоды искать не буду,сделаю новый лог отпишусь.Пока помогло восстановление из безопасного режима.Будте внимательней или передайте меня в надёжные руки

)

**alex-2** · 17.05.2010, 23:34

Логи.Вы хоть намекните ,что за зверёк у меня поселился

Вы за меня не забыли случайно ?

**alex-2** · 19.05.2010, 20:46

Запрошенный карантин.После точки восстановления он может быть и не...

**CyberHelper** · 20.05.2010, 20:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Код руткита в функции CopyFileExA (заявка № 78536)

Опции темы

Код руткита в функции CopyFileExA

Повторные логи.

Запрошенный карантин.

Итог лечения

Похожие темы

Словил руткита(

Код руткита в wininet.dll

Убить руткита

Следы от руткита

Похоже на руткита

Метки для этой темы

Ваши права в разделе