Помогите удалить руткит

Printable View

08.08.2011, 22:09
InquisitorAles

Вложений: 3

Помогите удалить руткит

Доброго времени суток! В последнее время у меня есть подозрения, что компьютер подцепил программу-шпиона - два раза за неделю блокировался профиль вконтакте за рассылку спама, и в настройках безопасности показывало, что моим профилем пользовался другой человек с российским ip. Также иногда засоряется буфер обмена, и вместе с нужным текстом добавляется всякий мусор вроде testtestestest и т.д. Проверил антивирусом и AVZ в безопасном режиме, вирусов не нашло, однако написало следующее:

Функция kernel32.dll: LoadLibraryExW (583) перехвачена, метод CodeHijack (метод не определен)

Также обнаруживало перехватчики, однако при выполнения скрипта удаления руткита после перезагрузки вновь находятся перехватчики, только с немного измененным именем, вроде splr.sys, spjf.sys и т.д. Помогите справиться с этой заразой!
08.08.2011, 22:10
Info_bot

Уважаемый(ая) [B]InquisitorAles[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.08.2011, 00:06
Techno

Здравствуйте!!!

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\mc25.tmp','');
DeleteFile('C:\WINDOWS\Temp\mc25.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.

ip Ваши?
[CODE]IP адрес: 193.232.248.2
Страна: Belarus
Регион: Москва
Город: Москва
Широта: 55.755787
Долгота: 37.617634
Провайдер: ROSNIIROS Russian Institute for Public Networks[/CODE]

[CODE]IP адрес: 82.209.213.51
Страна: Belarus
Регион: Homyel'skaya Voblasts'
Город: Gomel
Широта: 52.4417
Долгота: 30.9833
Провайдер: Republican Association BELTELECOM[/CODE]

[quote="InquisitorAles;816483"]Также иногда засоряется буфер обмена, и вместе с нужным текстом добавляется всякий мусор вроде testtestestest и т.д.[/quote]
АВЗ при этом работал? Если да, то это он "добавлял мусор":)

[quote="InquisitorAles;816483"]Функция kernel32.dll: LoadLibraryExW (583) перехвачена, метод CodeHijack (метод не определен)[/quote]
Это нормально:)

[quote="InquisitorAles;816483"]только с немного измененным именем, вроде splr.sys, spjf.sys и т.д.[/quote]
Это нормальные файлы:)
09.08.2011, 01:06
InquisitorAles

[QUOTE]ip Ваши?[/QUOTE]
Скрипты выполнил, файл отправил. Сейчас мой ip - 178.123.233.123 Насколько я понял, ip у меня динамический, так что второй скорее всего мой. Первый не мой, и я его не видел в логах до этого.
09.08.2011, 10:28
Techno

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{78C68406-F9D0-4E59-9D4A-5E330B8EE421}: NameServer = 82.209.213.51 193.232.248.2[/CODE]
Что с проблемой?
09.08.2011, 15:08
InquisitorAles

[QUOTE]Что с проблемой?[/QUOTE]
При попытке фикса через некоторое время становятся недоступны все сайты, хотя пишет, что сеть подключена и проблем нет. После восстановления все начинает работать опять.
09.08.2011, 17:31
thyrex

Нет ничего необычного в Ваших логах

[QUOTE]netnum: 193.232.248.0 - 193.232.251.255
netname: BELPAK
descr: Republican Association BELTELECOM
descr: Minsk
descr: Republic of Belarus
country: BY[/QUOTE]
09.08.2011, 18:16
InquisitorAles

[QUOTE]Нет ничего необычного в Ваших логах[/QUOTE]
Ладно, видимо как-то по другому пароль уходил хакеру. Хотя это странно, ведь пароль был длинный (>30 символов, со специальными знаками).
А эта секция нормальна?
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{78C68406-F9D0-4E59-9D4A-5E330B8EE421}: NameServer = 82.209.213.51 193.232.248.2[/CODE]
Я делал сканирование программой в начале года, и её не было - а то, что это изменение домена, настораживает.
09.08.2011, 18:26
thyrex

Это настройки DNS серверов ByFly
09.08.2011, 18:36
InquisitorAles

[QUOTE]Это настройки DNS серверов ByFly[/QUOTE]
Ну тогда спасибо, что объяснили :)
10.08.2011, 18:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]