-
Junior Member
- Вес репутации
- 57
Подозрение на руткит
При запуске браузеров с рабочего стола появляется ошибка "Системная библиотека kernel32.dll перемещена в памяти". При запуске с TC или батника - нет.
Свежие CureIt и AVPTool находят только блокировку антивирусных вендоров в hosts. При очистке hosts вручную они появляются примерно через минуту.
Попытки установки avp, drweb и nod32 приводят к зависанию инсталляторов.
В папке prefetch подозрительные запуски отсутствующих файлов xor.exe, 55555.exe.
Файл C:\DREAM\PIANO\xor.exe не виден даже при загрузке с Live CD.
Последний раз редактировалось TJDimas; 25.02.2011 в 22:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Подключите:
-Диск F:\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DREAM\PIANO\xor.exe','');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\DREAM\PIANO\xor.exe');
DelCLSID('23MAD6M9-4MAD-76AD-JIM3-73OP5G7781022');
BC_ImportAll;
ExecuteSysClean;
ClearHostsFile;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Обязательно обновите базы AVZ (Файл->Обновление баз)
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 57
Скрипт не помог. Карантин пуст. Ошибка осталась.
Флешка F:\ "вакцинирована" Panda USB Vaccsine.
В процессе повторного сбора логов в позицию курсора вышла строка:
testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttest
Есть ещё идеи?
Последний раз редактировалось TJDimas; 09.03.2011 в 16:51.
-
Сообщение от
TJDimas
Скрипт не помог.
Код:
Внимание !!! База поcледний раз обновлялась 06.01.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
...
Восстановление системы: включено
Поэтому он Вам и не помог.
Отключите:
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\x264vfw.dll','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\explorer.exe','');
ClearHostsFile;
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Обязательно обновите базы AVZ (Файл->Обновление баз).
Сделайте лог MBAM.
Сообщение от
TJDimas
В процессе повторного сбора логов в позицию курсора вышла строка:
testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttest
Это нормально.
-
-
Junior Member
- Вес репутации
- 57
Я так понимаю, что оригинальные версии explorer и winlogon нужно приготовить заранее?
-
Junior Member
- Вес репутации
- 57
Отключил восстановление, выполнил скрипт, высылал карантин, но проблему это не решило.
Свежий AVP Tool нашёл trojan.win32.patched.lk и удалил winlogon и explorer.
Скопировал winlogon и explorer с незаразного компьютера, иначе система не загружалась.
Спасибо
Последний раз редактировалось TJDimas; 20.04.2011 в 21:45.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Прилагаю.
Решил по ходу проблему: при просмотре системных служб в расширенном режиме ошибка:
"Не удалось отобразить один или несколько элементов ActiveX по одной из следующих причин.
1) Запуск элементов ActiveX на этой веб-странице запрещен текущими параметрами безопасности.
2) Поставщик одного из этих элементов заблокирован.
Эта страница может отображаться неправильно."
В стандартном режиме службы отображаются.
Удалил все ветки кроме 1,2,3,4 из
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\,
запустил IE и сбросил настройки безопасности всех зон на умолчания.
Помогло.
Последний раз редактировалось TJDimas; 21.04.2011 в 00:20.
-
Удалите в MBAM:
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{23mad6m9-4mad-76ad-jim3-73op5g7781022} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\drivers\48348722.sys (Rootkit.Agent.H) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\explorer.exe - Trojan.Win32.Patched.lk ( DrWEB: Win32.Dat.17, BitDefender: Trojan.Patched.KB.1, AVAST4: Win32:WinPatch )
- c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.lk ( DrWEB: Win32.Dat.17, BitDefender: Trojan.Patched.KB.1, NOD32: Win32/Bamital.FH trojan, AVAST4: Win32:WinPatch )
-