Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

ПОДОЗРЕНИЕ НА ROOTKIT (заявка № 81418)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24

    Exclamation ПОДОЗРЕНИЕ НА ROOTKIT

    ЗДРАВСТВУЙТЕ ГОСПОДА ! НЕКОТОРОЕ ВРЕМЯ НАЗАД ЗАМЕТИЛ СТРАННОСТИ В ПОВЕДЕНИИ КОМПЬЮТЕРА ПРИ РАБОТЕ В ИНТЕРНЕТЕ
    +ПЕРЕГРУЖАЕТСЯ ПРОЦЕССОР И ЗАВИСАЕТ. ПРОВЕРЯЛСЯ НЕСКОЛЬКИМИ
    АНТИВИРУСАМИ - ВСЁ ЧИСТО . ЕЩЁ ЗАМЕТИЛ ЧТО МНОГИЕ СИСТЕМНЫЕ
    ФАЙЛЫ ПРОДУБЛИРОВАНЫ СКРЫТЫМИ (ДАЖЕ С ГАЛКОЙ ПОКАЗЫВАТЬ СКРЫТЫЕ ФАЙЛЫ) С ТЕМ ЖЕ НАЗВАНИЕМ НО С ХИТРЫМ ЗНАЧКОМ ВПЕРЕДИ. ВИДНЫ ОНИ ТОЛЬКО ПРИ ОТКРЫТИИ СИСТЕМНОЙ ПАПКИ.
    ВСЕ ХИТРЫЕ ПАПКИ-ТЕКСТ ИЗ ДВУХ СТРОК(В ПЕРВОЙ ПОМИМО ХИТРЫХ
    ЗНАЧКОВ ЕСТЬ УЧЁТНАЯ ЗАПИСЬ ПОД КОТОРОЙ Я РАБОТАЮ-АДМИН,А
    ВТОРАЯ ПРОСТО КАКОЙ ТО КОД). ПЕРВАЯ СТРОКА ВЕЗДЕ ОДИНАКОВАЯ ,
    ВТОРЫЕ ВСЕ РАЗНЫЕ. НОРМАЛЬНО РАБОТАТЬ В ИНТЕРНЕТЕ УДАЁТСЯ
    ТОЛЬКО ПОД ДРУГОЙ УЧЁТНОЙ ЗАПИСЬЮ(С ОГРАНИЧЕННЫМИ ПРАВАМИ),
    СООТВЕТСТВЕННО АНТИВИРУСНЫЕ УТИЛИТЫ ЗАПУСТИТЬ НЕ МОГУ,
    ПОЭТОМУ ЛОГИ ПРИКРЕПЛЮ ПОЗЖЕ , НАДЕЮСЬ ЧТО ПОЛУЧИТЬСЯ.
    С УВАЖЕНИЕМ CHEBURAT.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    наконец прикрепляю логи. жду помощи. с уважением cheburat.
    Вложения Вложения
    Последний раз редактировалось cheburat; 21.06.2010 в 13:31. Причина: хорошая мысля ...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Доброго времени суток
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
    RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
    ExecuteRepair(16);
    ExecuteRepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip

  5. #4
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    выполнил всё согласно вышеуказанного,в логах всё по прежнему.
    прикрепляю.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    выполните скрипт в AVZ:
    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ + сделайте лог лог mbam.

  7. #6
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    здесь лог в avz , а mbam по вашей ссылке платный (платить 665 руб. за
    единичное использование я пока не готов) может есть бесплатная альтернатива?
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Я Вам не предлагал приобретать лицензию на полный продукт. В этом нет необходимости. Просто сделайте сканирование и сохраните лог, который надо прикрепить к сообщению, для этого не надо тратиться!

  9. #8
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    добрый вечер . не знаю в чём прикол но вчера по вашей ссылке я попадал
    на другой сайт ( может быть причина в смене имени администратора и па-
    роля ?)
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636281
    Похоже, что у вас был зеус. Меняйте пароли.

  11. #10
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    доброго времени суток господа. проверил систему по вашей ссылкею. C:\WINDOWS\system32\lowsec по этому адресу лежит зараа (Stolen.data по mbam , trojan-spi.win 32.zbot по zbotkiller).zbot... к сожалению заразу не лечит и не удаляет ,При следующих проверках вылазиет вновь. могу ли я без последствий удалить эту папку ? И что мне делать с backdoor.boot и malware.trace подскажите плиииииз ? заранее спасибо за уделённое мне внимание , с уважением cheburat.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Пришлите содержимое этой папки через карантин AVZ.

  13. #12
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    вечер добрый. долго соображал как это сделать , в результате первый файл был отправлен с неверной ссылкой а тему. со вторым файлом вроде всё сделал правильно,жду дальнейших инструкций. с уважением cheburat.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Карантин так и не пришел. Загружать по красной ссылке вверху темы!

  15. #14
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    Отослал ещё раз , встречайте .

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    В карантине либо мусор, либо зашифрованные данные. Удаляйте эти 3 файла.

  17. #16
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    здравствуйте господа. папку из под зевса вроде удалил , спасибо .
    но что делать с остальной заразой мы с вами так и не определились.
    весь сгораю от желания излечиться , с уважением cheburat .
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Удалите в mbam
    Код:
    Зараженные ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    Зараженные файлы:
    C:\Documents and Settings\Админ\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
    еще что-нибудь беспокоит?

  19. #18
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    доброго времени суток господа.с mbam вроде разобрались.провеил
    систему несколькими антивирусами , в авире всплывает скрытый
    процесс и скрытый файл. ещё я заметил, что лицензионный web с
    14 июня не обновляется автоматически ,попробовал вручную-не
    проходит.в чём может быть причина? в awz ещё больше неопределённых
    перехватов + всплыла маскировка процесса. ( я стал плохо спать по
    ночам).
    прикрепляю логи.
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    21.06.2010
    Сообщений
    11
    Вес репутации
    24
    добавляю.с уважением cheburat.
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Два антивируса на компьютере не к добру.
    Цитата Сообщение от cheburat Посмотреть сообщение
    лицензионный web с
    14 июня не обновляется автоматически ,попробовал вручную-не
    проходит.в чём может быть причина?
    Смотрите логи.

  • Уважаемый(ая) cheburat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на Rootkit
      От Arkidon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.07.2010, 00:57
    2. Подозрение на rootkit.
      От Igor_ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.04.2009, 16:45
    3. Подозрение на RootKit
      От sshumov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2009, 16:14
    4. Подозрение на rootkit
      От RA85 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.02.2009, 19:09
    5. Подозрение на RootKit
      От Aleksandr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.05.2007, 14:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01429 seconds with 23 queries