-
Junior Member
- Вес репутации
- 51
Подозрение на Rootkit
Здравствуйте от вирусов!
21.07 мой avira выдал сообщение о том, что найден троянец 'RKIT/Krap.B.56228' [trojan], под кодовым названием 'C:\WINDOWS\system32\drivers\rbokbu.sys'. Подумав немного, сказал, что удалит, наверное, после перезагрузки. После оной файл в указанном адресе не удалился, и удалить его нельзя (ошибка). Dr.Web CureIt! также обозвал его тем же словом, попытался вылечить его, но с трудом поместив в карантин после перезагрузки сдал позиции - файл опять на своём месте, а avira при открытии папки карантина Dr.Web'а говорит, что карантинный файл тоже зловредный вирус, однако хоть его удаляет начисто. Наконец, любимая AVZ про файл молчит, лиш подозревает, что есть служба с именем rbokbu.sys, маскирующая процессы. Ботклинер не смог его удалить. Что же делать? Как мн Быть!?... Благодарю за любой ответ.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте вирусам. А где логи АВЗ по правилам? + лог HiJackThis.
-
-
Junior Member
- Вес репутации
- 51
Будьте здоровы от вирусов!
Логи авз даны были под названием "вот", хайджек только скачал, высылаю лог. Кстати, авптул тоже пытался вылечить долго и упорно, даже прибег к перезагрузке. И не помогло. Теперь файл обозлился ещё больше и запрещает вызывать на себе контекстное меню. Ещё раз кстати, при удалении др.вэбом на следующую загрузку система говорит "Найдено новое оборудование", впоследствии как окажется что "его установить не удалось". И вопрос есть, где можно прочесть, как пользоваться хайджеком? Благодарю за предыдущий и следующий любой ответ.
-
Под названием "Вот" в любом случае должны быть не txt файлы, а логи АВЗ в архивах, перечитайте ещё правила пожалуйста. По поводу хайджека - saule-spb.ru
-
-
Junior Member
- Вес репутации
- 51
Подозрение на Rootkit
Будьте здоровы от вирусов!
Высылаю нужные логи по правилам + лог AVPTool и прошу простить мою неправильность. Напоминаю, что дело касается файла C:\WINDOWS\system32\drivers\rbokbu.sys, который был обозван авирой как 'RKIT/Krap.B.56228'. Файл не удаляется del(+Shift), запрещает вызывать на себе контекстное меню; Avira, Dr.Web CureIt! и Virus Removal Tool не смогли удалить его даже с помощью перезагрузки, несмотря на то, что авира и Вэб смогли скопировать его к себе в карантин, правда, вэбовский карантинный файл распознался авирой, как вредоносный и удалился начисто (хоть это хорошо). HiJackThis'ом, как неопытный пользователь такого рода программ, я не смог ничего сделать, только сделать лог.
+есть вопрос по поводу файла
C:\WINDOWS\I386\SVCPACK\MyTheme.exe, который год который распознаётся AVZ вирусом на 75%.Подробно всё в логах. Подскажите про каждый случай. СпасиБо.
-
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\9b7658ad.exe,\\?\globalroot\systemroot\system32\Gdwby4S.exe,C:\WINDOWS\system32\e850817a.exe,C:\WINDOWS\system32\hmspoj.exe,
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\9b7658ad.exe','');
DeleteFile('C:\WINDOWS\system32\9b7658ad.exe');
QuarantineFile('\\?\globalroot\systemroot\system32\Gdwby4S.exe','');
QuarantineFile('C:\WINDOWS\system32\hmspoj.exe','');
QuarantineFile('C:\WINDOWS\system32\e850817a.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
DeleteFile('C:\WINDOWS\system32\e850817a.exe');
DeleteFile('C:\WINDOWS\system32\hmspoj.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Gdwby4S.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать лог Гмером.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
я не знаю, что такое гмер...
-
Сообщение от
Arkidon
я не знаю, что такое гмер...
http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 51
Gmer не помог, точнее, не смог помочь… Каждый раз через 2 секунды после запуска возникает ошибка (см.скрин). Выполнил скрипт лечения/карантина для раздела «помогите!», перезагрузка, и раза три машина сама перезагружалась, дойдя до чёрного экрана с синей бегающей полоской. Проблему решил (быть может), войдя в безопасный режим с загрузкой сетевых драйверов и пролечив диск Virus Removal Tool’ом, естественно, который его (файл) не удалил, но хотя бы загрузил при перезагрузке нормально систему. Из злости на седящий на своём прижившемся месте файл решил я его сжать winrar'ом, так копьютер выдал ошибку, аля «здесь водки нет» :
! C:\WINDOWS\system32\drivers\rbokbu.rar: Невозможно открыть C:\WINDOWS\system32\drivers\rbokbu.sys
! Присоединенное к системе устройство не работает.
Это точняк Rootkitина. У себя я исправил проблемы безопасности, указанные в прошлых логах, профиксил указанную строку и выполнил указанный скрипт, но, как видите, файл хихикает на своём месте. Высылаю новые логи и скрин,+ есть вопрос : как то заметил, что AVZ выдает в отчёте :
C:\WINDOWS\system32\MSGINA.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\MSGINA.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Значит ли, что подозрения верны?
З. Ы. :
Это письмо пишу второй раз, так как при попытке написать в первый и после создания логов и подключения к сетке система жутко завязла, не мог открыть txt-файл и любую папку.
Благодарю за ссылки и отклики.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('rbokbu');
QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\rbokbu.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог Gmer (закройте/выгрузите все программы, отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- USB-модем, блютус и т.п.)
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил. Gmer не запускается при выключенной авире и интернете (та же ошибка), логи высылаю + "правильный" каратнин. Благодарю за отклики.
Последний раз редактировалось pig; 27.07.2010 в 02:14.
Причина: Карантин надо загружать по "красной ссылке"
-
Junior Member
- Вес репутации
- 51
Файл по-прежнему на своем месте и не удаляется.
-
Скачайте "OSAM" (Online Solutions Autorun Manager)--http://www.online-solutions.ru/produ...n-manager.html
В меню драйверов правой кнопкой по rbokbu и выберите "Turn Run Off". Перезагрузку подтвердите.
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\rbokbu.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
Здравсвуйте! Прошу простить за долгий перерыв. Проблема решилась переустановкой системы. Благодарю за попытки оказать помощь. Жаль не удалось сделать копию того файла для исследований.