Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Подозрение на руткит (заявка № 29065)

  1. #1
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63

    Exclamation Подозрение на руткит

    Добрый день!
    Nod32 поймал C:\WINDOWS\System32\drivers\Winfl64.sys - Win32/Wigon.CK троян.
    По горячим следам был обнаружен в автозагрузке ~.exe (соответственно из автозагрузки отключен)
    avz его определил как C:\WINDOWS\system32\~.exe >>> подозрение на Trojan-Downloader.Win32.Mutant.axi и благополучно удалил.
    При проверке ничего вредоносного больше не обнаруживается, но беспокоит файл C:\WINDOWS\system32\Drivers\sptd.sys - avz подозревает в нем руткит.
    Посмотрите, пожалуйста, логи
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Нарушения правил при сборе информации для раздела Помогите.

    - Не выключен установленный антивирус
    - Не закрыты все программы


    Логи выполненные с нарушением правил рассматриваться не будут.
    Спасибо за понимание.


    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     BC_QrFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys');
     QuarantineFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys','');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    -Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Цитата Сообщение от lemurz9 Посмотреть сообщение
    При проверке ничего вредоносного больше не обнаруживается, но беспокоит файл C:\WINDOWS\system32\Drivers\sptd.sys - avz подозревает в нем руткит.
    Это драйвер от Демона. Тут все ОК.

  4. #3
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    Странно, я ведь отключала антивирус, а из программ были открыты только avz и IE.
    Наверное надо было глянуть на запущенные процессы, а я ограничилась закрыванием окон и правого трея.
    Извините, если получилось не так, как надо...
    А как бы остатки от демона подчистить, не подскажете?
    Я его давно уже удалила вроде как...

    Добавлено через 15 минут

    Скрипт выполнен - карантин пуст
    Последний раз редактировалось lemurz9; 27.08.2008 в 23:51. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Повторите логи, плиз.
    Драйвер демона тоже попытаемся удалить.

  6. #5
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    Вот новые логи

    up
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от lemurz9 Посмотреть сообщение
    up
    Ночью мы спим. А Вы?

    Поищите и пришлите по правилам приложения 2 и 3 файл
    Код:
    C:\Documents and settings\lemurz9\Local Settings\Temp\cportclm.sys

  8. #7
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    И мы спим.
    подняла тему в 10 утра вроде
    файл этот я искала вчера- безрезультатно.
    попробую вечером еще раз (поскольку лечим домашний комп, а сейчас я на работе)
    Если не находится с помощью avz, чем еще поискать можно?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от lemurz9 Посмотреть сообщение
    Если не находится с помощью avz, чем еще поискать можно?
    TotalCommander - программа платная, но есть триалка на 30 дней - надеюсь, что нам этого будет достаточно
    Volkov Commander - тоже триалка, но проект остановлен и денег никто не требует.
    Ссылки ищите www.google.ru

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    FreeCommander - денег не требует, хотя и не отказывается
    www.freecommander.com

  11. #10
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    Нет, Вы меня не поняли
    TotalCommander - это и так мой повседневный "проводник"...
    Искомого файла в папке нет (галка "показывать скрытые/системные файлы" включена)
    В этой папке только несколько последних файлов .tmp и все (регулярно очищаю ее)
    Искала файл также с помощью avz-не находит.
    Поэтому и спрашиваю - чем еще поискать, раз его видно в логах?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от lemurz9 Посмотреть сообщение
    Поэтому и спрашиваю - чем еще поискать, раз его видно в логах?
    Попробуйте Volkov Commander. Прога работает на ДОС-уровне.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А если AVZ с включённым антируткитом?

  14. #13
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    спасибо, попробую вечером
    Rene-gad
    Если найдется свободная минутка - напишите, пожалуйста, скрип для подчистки "хвостов" от демон тулз

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от lemurz9 Посмотреть сообщение
    напишите, пожалуйста, скрип для подчистки "хвостов" от демон тулз
    Ловите
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\Drivers\sptd.sys');
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    Я тут некоторое время отсутствовала, хотелось бы продолжить лечение...
    Обнаружить файл C:\Documents and settings\lemurz9\Local Settings\Temp\cportclm.sys не удалось никаким способом
    Загрузившись в безопасном режиме под учетной записью "администратор", переименовала а затем удалила эту папку Temp в своей учетной записи и создала ее вновь. Следующий лог avz показал опять наличие в ней этого .sys файла.
    К тому же за время моего отсутствия комп успели заразить трояном, одним из признаков которого является наличие WinCtrl32.dll в C\windows\system32...данный файл прописался в автозагрузку в реестре.
    Может и еще чего появилось, вам как специалистам виднее.
    Новые логи
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    WinCtrl32.dll- заразились как и остальными, потому что под админом гуляете

    WinCtrl32.dll- удлять ледяным мечём http://virusinfo.info/showthread.php?t=17228

    антивирус только не забудь отключить, затем скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys');
     BC_DeleteSvc('cportclm');
    BC_Activate;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    RebootWindows(true);
    end.
    карантин по http://virusinfo.info/upload_virus.php?tid=29065 ;
    новые логи сделать.
    Последний раз редактировалось drongo; 17.09.2008 в 19:36.

  18. #17
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    при запуске скрипта ошибка "BEGIN" expected в позиции 1:2
    при проверке синтаксиса то же самое...
    извиняюсь, скопировала еще раз - все нормально

  19. #18
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    интересующие нас файлы вроде бы удалились...
    winctrl32.dll в папке нет, но в реестре он по прежнему в автозапуске...
    как это понимать?
    новые логи...

    файлы в карантин не попали...
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:04.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от lemurz9 Посмотреть сообщение
    winctrl32.dll в папке нет, но в реестре он по прежнему в автозапуске...
    В какой ветке реестра?
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Должен уйти ото всюду.

  21. #20
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    если верить avz, то
    HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName
    такой строчки в hijack нет...

  • Уважаемый(ая) lemurz9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на руткит
      От sazmir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.12.2011, 14:02
    2. Подозрение на руткит
      От loser3000 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.07.2010, 11:45
    3. Подозрение на руткит
      От Caterpillar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 15:25
    4. Подозрение на руткит
      От TJDimas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.04.2010, 06:04
    5. Подозрение на руткит
      От Hazard163 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.12.2008, 23:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00490 seconds with 19 queries