-
Junior Member
- Вес репутации
- 63
Подозрение на руткит
Добрый день!
Nod32 поймал C:\WINDOWS\System32\drivers\Winfl64.sys - Win32/Wigon.CK троян.
По горячим следам был обнаружен в автозагрузке ~.exe (соответственно из автозагрузки отключен)
avz его определил как C:\WINDOWS\system32\~.exe >>> подозрение на Trojan-Downloader.Win32.Mutant.axi и благополучно удалил.
При проверке ничего вредоносного больше не обнаруживается, но беспокоит файл C:\WINDOWS\system32\Drivers\sptd.sys - avz подозревает в нем руткит.
Посмотрите, пожалуйста, логи
Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нарушения правил при сборе информации для раздела Помогите.
- Не выключен установленный антивирус
- Не закрыты все программы
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
- Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
BC_QrFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys');
QuarantineFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys','');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
-Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сообщение от
lemurz9
При проверке ничего вредоносного больше не обнаруживается, но беспокоит файл C:\WINDOWS\system32\Drivers\sptd.sys - avz подозревает в нем руткит.
Это драйвер от Демона. Тут все ОК.
-
-
Junior Member
- Вес репутации
- 63
Странно, я ведь отключала антивирус, а из программ были открыты только avz и IE.
Наверное надо было глянуть на запущенные процессы, а я ограничилась закрыванием окон и правого трея.
Извините, если получилось не так, как надо...
А как бы остатки от демона подчистить, не подскажете?
Я его давно уже удалила вроде как...
Добавлено через 15 минут
Скрипт выполнен - карантин пуст
Последний раз редактировалось lemurz9; 27.08.2008 в 23:51.
Причина: Добавлено
-
Повторите логи, плиз.
Драйвер демона тоже попытаемся удалить.
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.
-
Сообщение от
lemurz9
up
Ночью мы спим. А Вы?
Поищите и пришлите по правилам приложения 2 и 3 файл
Код:
C:\Documents and settings\lemurz9\Local Settings\Temp\cportclm.sys
-
-
Junior Member
- Вес репутации
- 63
И мы спим.
подняла тему в 10 утра вроде
файл этот я искала вчера- безрезультатно.
попробую вечером еще раз (поскольку лечим домашний комп, а сейчас я на работе)
Если не находится с помощью avz, чем еще поискать можно?
-
Сообщение от
lemurz9
Если не находится с помощью avz, чем еще поискать можно?
TotalCommander - программа платная, но есть триалка на 30 дней - надеюсь, что нам этого будет достаточно
Volkov Commander - тоже триалка, но проект остановлен и денег никто не требует.
Ссылки ищите www.google.ru
-
-
FreeCommander - денег не требует, хотя и не отказывается
www.freecommander.com
-
-
Junior Member
- Вес репутации
- 63
Нет, Вы меня не поняли
TotalCommander - это и так мой повседневный "проводник"...
Искомого файла в папке нет (галка "показывать скрытые/системные файлы" включена)
В этой папке только несколько последних файлов .tmp и все (регулярно очищаю ее)
Искала файл также с помощью avz-не находит.
Поэтому и спрашиваю - чем еще поискать, раз его видно в логах?
-
Сообщение от
lemurz9
Поэтому и спрашиваю - чем еще поискать, раз его видно в логах?
Попробуйте Volkov Commander. Прога работает на ДОС-уровне.
-
-
А если AVZ с включённым антируткитом?
-
-
Junior Member
- Вес репутации
- 63
спасибо, попробую вечером
Rene-gad
Если найдется свободная минутка - напишите, пожалуйста, скрип для подчистки "хвостов" от демон тулз
-
Сообщение от
lemurz9
напишите, пожалуйста, скрип для подчистки "хвостов" от демон тулз
Ловите
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\sptd.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 63
Я тут некоторое время отсутствовала, хотелось бы продолжить лечение...
Обнаружить файл C:\Documents and settings\lemurz9\Local Settings\Temp\cportclm.sys не удалось никаким способом
Загрузившись в безопасном режиме под учетной записью "администратор", переименовала а затем удалила эту папку Temp в своей учетной записи и создала ее вновь. Следующий лог avz показал опять наличие в ней этого .sys файла.
К тому же за время моего отсутствия комп успели заразить трояном, одним из признаков которого является наличие WinCtrl32.dll в C\windows\system32...данный файл прописался в автозагрузку в реестре.
Может и еще чего появилось, вам как специалистам виднее.
Новые логи
Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.
-
WinCtrl32.dll- заразились как и остальными, потому что под админом гуляете
WinCtrl32.dll- удлять ледяным мечём http://virusinfo.info/showthread.php?t=17228
антивирус только не забудь отключить, затем скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys');
BC_DeleteSvc('cportclm');
BC_Activate;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.
карантин по http://virusinfo.info/upload_virus.php?tid=29065 ;
новые логи сделать.
Последний раз редактировалось drongo; 17.09.2008 в 19:36.
-
-
Junior Member
- Вес репутации
- 63
при запуске скрипта ошибка "BEGIN" expected в позиции 1:2
при проверке синтаксиса то же самое...
извиняюсь, скопировала еще раз - все нормально
-
Junior Member
- Вес репутации
- 63
интересующие нас файлы вроде бы удалились...
winctrl32.dll в папке нет, но в реестре он по прежнему в автозапуске...
как это понимать?
новые логи...
файлы в карантин не попали...
Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.
-
Сообщение от
lemurz9
winctrl32.dll в папке нет, но в реестре он по прежнему в автозапуске...
В какой ветке реестра?
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Должен уйти ото всюду.
-
-
Junior Member
- Вес репутации
- 63
если верить avz, то
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName
такой строчки в hijack нет...