Показано с 1 по 14 из 14.

Помогите почистится, подозрение на руткит (заявка № 90517)

  1. #1
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50

    Помогите почистится, подозрение на руткит

    Подхватил заразу из интернета. Ни с того, ни с сего windows firewall запросил разрешения выйти в интернет для приложения "explorer" (не iexplore). Отказал. В таск менеджере тем временем обнаружился процес 5C.tmp, громко хрустя винтом. Убил процесс. Спустя немного завелся еще один - builder.exe. Снова убил. Запустил AVZ - посмотреть чё к чему. Лог AVZ был весь сплошь красным, вероятно от столь низкого падения нравов Основные притензии - перехват функций ядра, коды руткита. Всего этого не было месяц назад - вот тема http://virusinfo.info/showthread.php?t=88551
    Пожалуйста помогите.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50
    На всякий случай прикладываю еще два лога AVZ - первого и второго сканирования. И архив с упомянутыми файлами 5С.tmp и builder.exe (ко всем именам файов и папок добавлены собаки в начале и в конце, пароль на архив - virus)
    Последний раз редактировалось thyrex; 25.10.2010 в 22:14. Причина: Удалил ненужные вложения

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetServiceStart('mkdrv', 4);
     DeleteService('mkdrv');
     DeleteFile('D:\WIN2003\mkdrv.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузите вручную

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50
    Скрипт выполнил, карантин загрузил.

    Но это не всё. К счастью, сегодня проснулся Semantec и стал ловить при входе в систему в юзерском темпе файлы вида XX.tmp . Он их удаляет безвозвратно, так что прислать их не могу, но кое какие следы все-же остаются - прилагаю пару архивов с подозрительными вещами из пользовательской временной директории. Да, забыл сказать, Semantec обзывает то, что он ловит Backdoor.Sheedash . Первый приложеный архив - вход в систему до выполнения скрипта, второй - после перезагрузки сразу после выполнения скрипта.

    Новые логи готовлю.

  6. #5
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50
    Вот новые логи

  7. #6
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50
    И дополнительно - после выполнения скрипта количество фраз про руткит в логах AVZ не уменьшилось к сожалению. Вот они - первое и второе сканирование.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFileMask('D:\Documents and Settings\victor\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     DeleteFileMask('D:\Documents and Settings\victor\Local Settings\History\History.IE5', '*.*', true);
     QuarantineFile('D:\Program Files\Internet Explorer\rasadhlp.dll','');
     DeleteFile('D:\Program Files\Internet Explorer\rasadhlp.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  9. #8
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50
    Карантин высылаю. Новые логи сделал. AVZ по прежнему кричит про руткит

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от polword Посмотреть сообщение
    - Сделайте лог MBAM
    еще такой лог сделайте

  11. #10
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50
    Да, конечно, просто отвлёкся от процесса. Лог этого инструмента мне очень нравиться, просто руки чешутся этих бяк покрошить - D:\Program Files\Outlook Express\rasadhlp.dll (уже был в прошлый раз) и D:\Documents and Settings\victor\Application Data\Paezg\veik.exe . А вот этот файл D:\Documents and Settings\victor\Start Menu\Programs\Startup\syscron.exe не вижу почему то...

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ
    Код:
    Registry Values Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{2f6c500e-6990-d785-af13-dac2bfcb3008} (Spyware.Passwords.XGen) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Files Infected:
    D:\Documents and Settings\victor\Application Data\Paezg\veik.exe (Spyware.Passwords.XGen) -> No action taken.
    C:\Program Files\Internet Explorer\@@@rasadhlp.dll@@@2010-09-20_22-55 (Spyware.Passwords.XGen) -> No action taken.
    C:\Program Files\Outlook Express\@@@rasadhlp.dll@@@2010-09-20_22-55 (Spyware.Passwords.XGen) -> No action taken.
    C:\Program Files\Mozilla Firefox\@@@rasadhlp.dll@@@2010-09-20_22-55 (Spyware.Passwords.XGen) -> No action taken.
    C:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
    D:\Documents and Settings\victor\Start Menu\Programs\Startup\syscron.exe (Spyware.Passwords.XGen) -> No action taken.
    D:\Program Files\Internet Explorer\@@@rasadhlp.dll@@@2010-09-20_22-55 (Spyware.Passwords.XGen) -> No action taken.
    D:\Program Files\Outlook Express\@@@rasadhlp.dll@@@2010-09-20_22-55 (Spyware.Passwords.XGen) -> No action taken.
    D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    D:\Program Files\Outlook Express\rasadhlp.dll (Trojan.PWS) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    22.09.2010
    Сообщений
    12
    Вес репутации
    50
    Выполнено. Вот новые логи.
    Единственное, что напрягает, это строчки в логе AVZ:
    ----------
    обнаружена подмена PID (текущий PID=0, реальный = 3760)
    Маскировка драйвера: Base=EE5B6000, размер=131072, имя = "\SystemRoot\system32\DRIVERS\nvcap.sys"
    ----------
    Раньше (в здоровом состояние) этого не было.
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от semen20100922 Посмотреть сообщение
    Единственное, что напрягает, это строчки в логе AVZ:
    AVZPM отключите

    В логах чисто
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\win2003\\mkdrv.sys - Rootkit.Win32.Qhost.m ( DrWEB: Trojan.NtRootKit.9769, BitDefender: Trojan.Generic.5008328, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) semen20100922, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите подозрение на руткит
      От VladimirShumanov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.01.2012, 20:50
    2. Ответов: 8
      Последнее сообщение: 24.10.2011, 08:17
    3. Помогите! Подозрение на Руткит, bsod на mrxdav.sys
      От vasiliyd в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 28.10.2010, 15:04
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Не чистится
      От Jinn в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.06.2008, 16:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00121 seconds with 20 queries