Руткит

Printable View

23.12.2009, 21:17
AndreyET

Руткит

История, нужно было установить эмулятор хасп на домашнюю машину, после инсталяции потребовал перезагрузку, после чего машина зависла напрочь, в безопасном режиме прогнал Куреитом, ничего, АВЗ тоже ничего, Гмер нашел руткита, процесс удалил, после чего через msconfig отключил службу управления лицензиями Hasp, теперь машина грузится, но не работает отключение восстановления системы, при сворачивании программы она не отражается в трее, не работает проверка системных файлов.
На всякий случай еще и лог Gmer/
24.12.2009, 13:52
light59

[QUOTE='AndreyET;543369']Гмер нашел руткита, процесс удалил[/QUOTE]
Что именно от там нашёл?
Cureit не старый? Качали когда?
24.12.2009, 15:32
AndreyET

C:\WINDOWS\system32\svhost.exe (*ello*)
Как то так выглядело, точно сейчас не вспомню.
Куреит свежий, плюс на машине стоит Dr.Web Security Space c обновлением каждые 4 часа.
25.12.2009, 17:16
AndreyET

Никто не поможет? Или проблема на уровне системы?
Не могу просмотреть ни одно событие, щелчек на любом, и больше ничего не происходит, не показывает также список служб, а при попытке отключить/включить восстановление системы, пишет что это невозможно требуется перезагрузка системы, которая не помогает.
26.12.2009, 21:26
AndreyKa

LOL файла C:\WINDOWS\System32\svchost.exe нет!
Восстанавливайте.
27.12.2009, 10:58
AndreyET

Систему восстановил, благо была сохраненная копия реестра, ибо накрутило там ой-ой-ой.
27.12.2009, 11:35
AndreyKa

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
27.12.2009, 22:06
AndreyET

Зловред остался, переодически отрубает инет, число подключений TCPIP превысило допустимый предел.
27.12.2009, 22:18
AndreyKa

Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [B]log[/B].
27.12.2009, 22:39
AndreyET

Во время выполнения попросил отключить настройку Явы.
27.12.2009, 22:52
AndreyKa

Не так плохо как я думал, но всё же дыр достаточно, чтобы регулярно товые трояны получать.
27.12.2009, 23:15
AndreyET

Уже устраняются:smile:
Я одного понять не могу, для чего я покупаю лицензию на DrWeb?
Что на работе, что дома зловредам он не помеха. И если на работе есть возможность держать одну машинку под Win2000, которая сопротивляется гораздо лучше XP, то дома в силу обстоятельств такой возможности нет.