руткит

Printable View

01.03.2010, 11:46
White--007

руткит

здравствуйте, помогите поймать руткита на этой машине стоит касперский антивирус 2010 но руткит тут поселился раньше чем он в сети все машины ругаются на него и пишут Intrusion.Win.NETAPI.buffer-overflow.exploit
01.03.2010, 12:15
thyrex

[B]Отключите восстановление системы[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\strongkey-rc1.3-build-208.exe','');
QuarantineFile('C:\Documents and Settings\User\РРРРРРРРРРРРРРРРРРРРРР.avi','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
TerminateProcessByName('c:\windows\system\dllcache.exe');
QuarantineFile('c:\windows\system\dllcache.exe','');
DeleteFile('c:\windows\system\dllcache.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\Documents and Settings\User\РРРРРРРРРРРРРРРРРРРРРР.avi');
DeleteFile('E:\strongkey-rc1.3-build-208.exe');
DeleteFile('E:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
01.03.2010, 13:37
White--007

скрипт выполнил карантин послал вот новые логи
01.03.2010, 15:11
V_Bond

отключите восстановление системы повторите логи
03.03.2010, 12:31
White--007

не могу отключить восстановление не запускается exe файл не работает редактор реестра ворд и ещё пара программ
03.03.2010, 12:45
PavelA

Через Мастер поиска и устранения проблем в AVZ пройдитесь.
03.03.2010, 13:00
White--007

чисто там говорит что нет проблемм!!!(((
03.03.2010, 13:30
PavelA

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных -- Надо с Лайва проверяться. Есть подозрение на файловый вирус.
03.03.2010, 13:54
White--007

с лайва проверялся (Kasperski ResDisk) он там кучу понаходил а толку нет да и ещё комп теперь ваще не грузиться(((((( печально. пишет ошибку и дальше приветствия с выбором пользователей не идёт
03.03.2010, 13:58
PavelA

Надо проверяться до тех пор пока Kasperski ResDisk не начнет ничего не находить.
Далее чинить реестр тоже с Лайва.
05.03.2010, 08:41
White--007

всё вроде заличил поставил KIS2010 всех погрохал с Kasperski ResDisk потом коекак завёл винду сегодня вроде всё спокойно нашёл каких то 2 трояна в темпах, KIS2010 их тутже грохнул такчто в логах C:\WINDOWS\system32\9.tmp и C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\H1D76Y26\est[1].exe можете не писать. кстати "!!! Внимание !!! Восстановлено 63 функций KiST в ходе работы антируткита" Это чё?
05.03.2010, 09:09
White--007

[QUOTE=PavelA;596900]
Далее чинить реестр тоже с Лайва.[/QUOTE]
реестр был впорядке был изменён файл userinit.exe на userini.exe

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

и ещё ни как не могу избавиться от ошибки связанной с Microsoft .Net framework при открытии программы пишет Ошибка при инициализации приложения (0хс000007В) Net framework переустановил на новый не помогло
05.03.2010, 09:58
PavelA

выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\fonts\services.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','userini');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Висит в процессах куча, связанная с Дотнетом.
Логи повторите после перезагрузки.
09.03.2010, 13:08
White--007

всё сделал неделя прошла всё спокойно вот только ошибка с Microsoft .Net framework осталась может поможете если нет и в логах чисто то можно закрывать тему да и ответьте на вопрос пожалуйста что такое !!! Внимание !!! Восстановлено 63 функций KiST в ходе работы антируткита
09.03.2010, 13:14
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\fonts\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
09.03.2010, 13:39
White--007

вот новые логи
09.03.2010, 15:06
V_Bond

лог hijackthis сделайте
10.03.2010, 10:21
White--007

вот лог
10.03.2010, 10:36
V_Bond

пуск выполнить sc delete FCI
повторите логи ...
11.03.2010, 12:10
White--007

вот новые логи всё выполнил у меня не работает одна программа по здаче налоговой отчётности мы не могли сбить её настройки она работает через браузер и не запускается ещё одна программа из той же серии только тут exe говорит ошибка при инициализации приложения (0xc000007b) переустановка не помогла
12.03.2010, 12:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]