Printable View
точно такая же ситуация как и в теме Сегодня, 13:55 [B]поймал руткит от [/B][URL="http://virusinfo.info/member.php?u=58566"]ak47[/URL] при запуске cmd.exe и regedit.exe прибивается этот процесс
и процесс его вызвавший если запустить через другую учетную запись или через avzguard запускается нормально
также если имя файла переименовать в другое то он запускается
стоит nod 4 с последними базами сегодня перестало работать обновление баз и инет пинги работают проверял сегодняшним cureit чисто
просьба большая о помощи так как это комп бухгалтера и из за того что не работает cmd не можем через банк клиент передать налоги в бюджет
завтра мне будет смерть
[ATTACH]129866[/ATTACH]
[ATTACH]129867[/ATTACH]
пароль 123
в логе сделаным rootkit unhokerom виден файл
uje0njiy.sys
на данный момент ни чем не видеться
Файл uje0njiy.sys получен 2009.05.05 17:32:10 (CET)
Антивирус Версия Обновление Результат
a-squared 4.0.0.101 2009.05.05 -
AhnLab-V3 5.0.0.2 2009.05.05 -
AntiVir 7.9.0.160 2009.05.05 -
Antiy-AVL 2.0.3.1 2009.05.05 -
Authentium 5.1.2.4 2009.05.04 -
Avast 4.8.1335.0 2009.05.04 -
AVG 8.5.0.327 2009.05.05 -
BitDefender 7.2 2009.05.05 -
CAT-QuickHeal 10.00 2009.05.05 -
ClamAV 0.94.1 2009.05.05 -
Comodo 1149 2009.05.03 -
DrWeb 5.0.0.12182 2009.05.05 -
eSafe 7.0.17.0 2009.05.05 -
eTrust-Vet 31.6.6490 2009.05.05 -
F-Prot 4.4.4.56 2009.05.04 -
F-Secure 8.0.14470.0 2009.05.05 -
Fortinet 3.117.0.0 2009.05.05 -
GData 19 2009.05.05 -
Ikarus T3.1.1.49.0 2009.05.05 -
K7AntiVirus 7.10.723 2009.05.05 -
Kaspersky 7.0.0.125 2009.05.05 -
McAfee 5605 2009.05.04 -
McAfee+Artemis 5605 2009.05.04 -
McAfee-GW-Edition 6.7.6 2009.05.05 -
Microsoft 1.4602 2009.05.05 -
NOD32 4054 2009.05.05 -
Norman 6.01.05 2009.05.05 -
nProtect 2009.1.8.0 2009.05.04 -
Panda 10.0.0.14 2009.05.05 -
PCTools 4.4.2.0 2009.05.05 -
Prevx1 3.0 2009.05.05 -
Rising 21.28.12.00 2009.05.05 -
Sophos 4.41.0 2009.05.05 -
Sunbelt 3.2.1858.2 2009.05.05 -
Symantec 1.4.4.12 2009.05.05 -
TheHacker 6.3.4.1.318 2009.05.04 -
TrendMicro 8.950.0.1092 2009.05.05 -
VBA32 3.12.10.4 2009.05.05 -
ViRobot 2009.5.4.1719 2009.05.04 -
VirusBuster 4.6.5.0 2009.05.05 -
Дополнительная информация
File size: 10240 bytes
MD5...: 48372ba61706f50c0f9c7a0728db3663
SHA1..: 7de83299158466b29fdccc1441bc268ca606396d
SHA256: 1d29c41d93b29230df1504406288ad1bb7c81c8dc8344f86bbc3df83739278b7
SHA512: ad21958f5a45ca27e93b82e11a8f2182e9f22d65c344a3ea220a2ef6a1015e46<br>38f07f8fd4a437dc289eea538642630fbc88580600b8c613821c311a0ecdba31
ssdeep: 192:ktP9bB7CUchKKTNAUNFNSfyCvgfi5g53Yg50HfmgN/gzIR:qbBVchKKTNlNF<br>NSfyCvgfi5g53x54fmO<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1d20<br>timedatestamp.....: 0x49a4f12a (Wed Feb 25 07:20:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x123e 0x1400 5.40 849cf3215eedb5f43e35a8514dce64e7<br>.rdata 0x3000 0x210 0x400 1.83 279928ec9cc5c1c0dd40a52671592caa<br>.data 0x4000 0x19c 0x200 0.74 13c052a219a8b07ba0b9a240099eee55<br>INIT 0x5000 0x1da 0x200 4.50 032808d98d3902a8c8a76f25bfb6d020<br>.rsrc 0x6000 0x328 0x400 2.67 e17f34a19d4929edf1cad412d8a46e7f<br>.reloc 0x7000 0x2e4 0x400 4.99 1b05b2f6d35d76fa318cfabac92ea6ee<br><br>( 2 imports ) <br>> ntoskrnl.exe: _wcslwr, ExAllocatePool, KeServiceDescriptorTable, wcsstr, IoDeleteSymbolicLink, PsSetCreateProcessNotifyRoutine, IoCreateSymbolicLink, IoCreateDevice, IofCompleteRequest, IoGetCurrentProcess, NtBuildNumber, ExFreePool, IoDeleteDevice, PsGetCurrentProcessId<br>> HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-
жутко страшный драйвер авз ...
но проблема все равно есть винда не давала запустить Rootkit Unhooker грохая процес его и процесс проводника пока не перименовал или не запустил его через avz guard
вообще не должно ничего запускаться .... с включенным -то авз гвардом ...
убрал режим avzp переименовал Rootkit Unhooker в notepad тока после этого он запустился сделал новый отчет [ATTACH]129874[/ATTACH]
после перезагрузки еще раз сделал отчет [ATTACH]129875[/ATTACH]
не знаю что помогло но теперь проблемы нету видимо все таки грохнул его
так как после перезагрузки 3 очет почти пустой
уже бух ушел но банк клиент командная строка и редактор реестра и бразуер работает (не работал не один и 3 браузеров)
[QUOTE=V_Bond;397560]вообще не должно ничего запускаться .... с включенным -то авз гвардом ...[/QUOTE]
...
не понял к чему предыдушее сообшение но проблема возникла задолго до включения avz и avz garda притом симтомы аналогичные ak47 пока всем юземрам поставил в браузер noscript флешки и так все отрублены стоят последние обновления грешить на появление вируса могу тока на какой нибудь exploit который пробил firefox