При загрузке компа были подозрительные запросы от файла SVHOST.exe .
Выполнил правила - подозрения на руткит
Printable View
При загрузке компа были подозрительные запросы от файла SVHOST.exe .
Выполнил правила - подозрения на руткит
выполните скрипт ....
[code]
begin
QuarantineFile('C:\WINDOWS\system32\P17.dll','');
QuarantineFile('C:\SOFT\Squid\cmd\logrotation.cmd','');
QuarantineFile('C:\SOFT\Squid\cmd\rotatedemon.cmd','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Скрипт выполню, а карантинный архив не влез... Он туда от души напихал файлов от Outpost Firewall Pro
SQUID мне не нужен в наст. время могу совсем снести...
Карантин не нужно прикреплять к теме - загрузите его по ссылке [url]http://virusinfo.info/upload_virus.php?tid=14575[/url]
Скрипт Информация для Virusinfo собраный в системе, загруженной штатным образом. Скрипт выполнил, файлы приложены
нужен карантин ....
выполните скрипт...
[code]
begin
ClearQuarantine;
end.
[/code]
затем скрипт из поста 2 ....
карантин загрузите по ссылке ... [url]http://virusinfo.info/upload_virus.php?tid=14575[/url]
Дык загружал же... по ссылке карантин по результатам пыполнения скрипта.
Или его надо было запускать в Safe Mode, и включенном в AVZ режиме борьбы с kernel руткитами ?
присланные файлы чистые .....
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Ок. Результат выполнения скрипта по поиску Rootkit:
[CODE]1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100924DE]
>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1009250A]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1009219A]
>>> Код руткита в функции EndTask нейтрализован
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[10092116]
>>> Код руткита в функции ExitWindowsEx нейтрализован
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[10092142]
>>> Код руткита в функции SetForegroundWindow нейтрализован
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1009216E]
>>> Код руткита в функции SetWindowPos нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
[/CODE]
В Логе IVVPVUPVNQDI.exe - файл созданный rootkitrevealer-ом при запуске.
Результат запуска AntiRootkit утилиты:
[CODE]E:\Distrib\security\Rootkit\modGREPER-0.3-bin>modgreper -h
modGREPER 0.3, written by Joanna Rutkowska (2005)
http://invisiblethings.org
searching phase 1 completed.
searching phase 2 completed.
? 804d7000 - 806e2000 : \WINDOWS\system32\ntkrnlpa.exe
? 806e2000 - 80702d00 : \WINDOWS\system32\hal.dll
? bada8000 - badaa000 : \WINDOWS\system32\KDCOM.DLL
? bacb8000 - bacbb000 : \WINDOWS\system32\BOOTVID.dll
? badaa000 - badac000 : \WINDOWS\system32\DRIVERS\WMILIB.SYS
? bab28000 - bab2f000 : \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
? ba6dd000 - ba6f5000 : \WINDOWS\system32\drivers\SCSIPORT.SYS
? ba8f8000 - ba905000 : \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
? bab38000 - bab3d000 : \WINDOWS\system32\drivers\TDI.SYS
? b6a9f000 - b6ab7000 : \SystemRoot\System32\Drivers\dump_atapi.sys
? bae5a000 - bae5c000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYS
? b4346000 - b436a000 : \SystemRoot\System32\Drivers\IsPubDrv.sys
? bae50000 - bae52000 : \??\C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS
THERE ARE 13 SUSPECTED MODULE(S)!!![/CODE]
выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\DOCUME~1\Helgin\LOCALS~1\Temp\IVVPVUPVNQDI.exe','');
BC_Importall;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
[quote=V_Bond;154517]выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\DOCUME~1\Helgin\LOCALS~1\Temp\IVVPVUPVNQDI.exe','');
BC_Importall;
RebootWindows(true);
end.
[/code]пришлите карантин согласно приложения 3 правил ....[/quote]
Это файл созданный Rootkit Revealer после его запуска.
Проблема теперь в другом. Накернилась вся винда - при загрузке синий экран с надписью не могу загрузить logon.... чего то кракозябрами.
Буду пытаться реанимировать в Safe mode, или делать инсталяцию поверх (восстановление системы) Посмотрим что будет тогда.
[QUOTE=Helgin;154741]Это файл созданный Rootkit Revealer после его запуска.[/QUOTE]
Rootkit Revealer создает при работе исполняемые файлы? Никогда не слышал. Выполните пожалуйста скрипт V_Bond.
[quote=Rene-gad;154746]Rootkit Revealer создает при работе исполняемые файлы? Никогда не слышал. Выполните пожалуйста скрипт V_Bond.[/quote]
Как только подниму систему, так прогоню ещё раз сканы, и скрипты.
Систему удалось поднять только переустановкой с затиранеим предыдущей версии. Режим накатки сверху страшно глючил (на найден файл, укажите где находится - обзор файл видит, но копировать отказывается.)
Таким образом сейчас у меня девственая система, AVZ при запуске сканирования системы ничего красного не выдаёт.
Что сделать , чтобы найти зловреда до того как он опять встроится в систему? Как предотвратить внедрение?
1-е желание сейчас - поставить Каспера и Agnitum но поможет ли от этого?
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Предложения конечно хорошо, с т.з. ликбеза.
Но конкретно сейчас мне надо будет переставлять все программы, и работать буду под админом для этого. Что мне надо сделать сейчас, пока вируса нет в активной форме? Поможет ли сканирование диска каспером сразу после его установки, если он не ловил руткит до этого?
Или CureIt-ом? Где зловред мог сохраниться? Будет ли KAV 7 (с ключенной проактивкой) препятствовать его инсталяции в систему? А что делать, ведь во время установки софта KAV временно отключается?
Скорее всего вы удалили вирус вместе со старой системой, но просканировать весь диск KAV'ом со свежими базами лишним не будет.
СПАСИБО, после переустановки системы проверил свежим cureit, после установки каспера прогнал полную проверку - все чисто. Тем не менее AVZ выдает следующее.
Думаю может это все проявления активности Agnitum Outpost V6?
ничего подозрительного в логах ....
Кстати руткиты без прав админа не устанавливаются ;)