-
Junior Member
- Вес репутации
- 50
Не запускаются АнтиRootKit
Доброго времени суток.
На ноутбуке прктически с самого начала его эксплуатации не запускалась служба обновления Защитника.
Натолкнулся на ваш сайт и решил провериться описанными утилитами. Нашел подозрительные вещи, но в отсутсвии опыта не понял ничего. Но появились серьезные подозрения на RootKit.
Пробовал вчера запустить несколько программ разных производителей, предназначенных к нахождению и удалению RootKit и столкнулся с ситуацией, когда запускались только те, которые могут только сканировать комп. Но могущие лечить не запускались в принципе.
Сканировщики обнаружили много чего в драйверах и Реестре.
Логи AVZ и HiJackThis прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\WOQYOC.exe','');
QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\HUZKQNLBT.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Сделано.
Скрипты вополнил, файл прислал по ссылке.
Добавлено через 6 часов 2 минуты
Эта информация необходима?
Файл сохранён как 100929_113640_quarantine_4ca2ec88094f1.zip
Размер файла 847008
MD5 a5b36c64532f2f8e93a1078f9bb1aa35
Последний раз редактировалось Olejka; 29.09.2010 в 17:39.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 50
-
C:\Users\Олег\AppData\Roaming\Thinstall\Adobe Dreamweaver CS3\800000fbe00002i\Dreamweaver.exe - Знаком Вам этот файл?
-
-
Junior Member
- Вес репутации
- 50
Прикол в том, что несколько дней назад я чистил комп и удалял весь Адоб и Дримвюер в том числе...
Добавлено через 7 минут
Кстати говоря, у этого файла весьма странная дата создания. Адоб я ставил гораздо раньше этой даты...
Похоже там что-то прописалось...
Добавлено через 1 минуту
Да и размер как мне кажется весьма маловат для реального Дримвьюеровского экзешника - всего 60 кБ.
Последний раз редактировалось Olejka; 30.09.2010 в 10:38.
Причина: Добавлено
-
Если не нужен - удалите его в МВАМ и повторите лог.
-
-
Junior Member
- Вес репутации
- 50
Удалил. новый лог Мальвары в аттаче.
-
-
-
Junior Member
- Вес репутации
- 50
Защитник Виндовс (defender) так и не запускается... Выдает ошибку...
Может быть это изначальный баг системы?...
Сейчас посмотрю на системные требования АнтиРутКита, может он и не должен на Висте пускаться.. (Это меня сегодня в метро осенило)
Но сейчас у меня возник вопрос.
В логах Хайджека у меня вызывает подозрение три записи:
-----------------------------------
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe
O23 - Service: WOQYOC - Sysinternals - www_точка_sysinternals_точка_com - C:\Users\05AC~1\AppData\Local\Temp\WOQYOC.exe
O23 - Service: YTF - Sysinternals - www_точка_sysinternals_точка_com - C:\Users\05AC~1\AppData\Local\Temp\YTF.exe
-----------------------------------
Подозрение на следующих основаниях:
Spyware Terminator - не помню, чтоб когда либо ставил на ноутбук. Но специально вчера пересмотрел Панель удаления программ и панель запуска программ. Нет ничего похожего...
www_точка_sysinternals_точка_com - очень странный сайт, тут же пытается перенаправить куда-то. Заходить не стал, пытался проверить онлайн сервисом (который второпях нашел по поиску) - сказали, что сайт вообще не доступен.
-
Сообщение от
Olejka
www_точка_sysinternals_точка_com
http://ru.wikipedia.org/wiki/Sysinternals
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Со вторым подозрением разобрался... Там все чисто должно быть. Это как раз от того самого Антируткита для Виндовс...
С первым сейчас выполню ваши рекомендации.
Добавлено через 18 минут
Сделано.
Файл отправлен по ссылке.
------
ой, только я его переименновал в quarantine.zip...
Последний раз редактировалось Olejka; 30.09.2010 в 14:45.
Причина: Добавлено
-
C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe - судя по всему, этого файла в системе нет, осталась ссылка на него и она видна в логе HiJackThis, можно пофиксить, если хотите.
-
-
Junior Member
- Вес репутации
- 50
ОК.
Спасибо за помощь!
Добавлено через 1 минуту
Да, я так понял, что в первых двух файлах ничего зловредительского не обнаружено. Так?
Последний раз редактировалось Olejka; 30.09.2010 в 15:27.
Причина: Добавлено
-
Окончательный вердикт им не поставлен, но - по первым данным - чистые + имеют копирайты -
Copyright (C) 2005-2006 Bryce Cogswell and Mark Russinovich 1.70
-
-
Junior Member
- Вес репутации
- 50
Русинович - это как раз разработчик программ с сайта www_точка_sysinternals_точка_com...
Так что похоже, была ложная тревога...
Это видать паранойя обыкновенная... После того, как я на домашнем много чего нашел.
Как раз собираюсь в новой теме просить совета.
Добавлено через 10 минут
О-па. А C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe в Хайджеке не фиксится.
говорит, что удалил. Но при повторном сканировании снова определяет...
Последний раз редактировалось Olejka; 30.09.2010 в 15:55.
Причина: Добавлено
-
Поищите так - программа АВЗ - Сервис - Поиск файлов на диске - Отметьте галкой место его расположения и в поле маска задайте sp_rsser.exe, если найдёте - отметьте галкой и скопируйте в карантин, карантин залейте по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Файл найден, но вот не могу найти, куда карантин сохранился...
В каталоге АВЗ только два предыдущих.
Добавлено через 5 минут
Я его заархивировал стандартными средствами. Не знаю, верно ли сделал.
А может быть его в АВЗ попробовать и удалить? (Из режима поиска на диске)
Последний раз редактировалось Olejka; 30.09.2010 в 16:39.
Причина: Добавлено
-
Если он Вам не нужен, попробуйте грохнуть его отложенным удалением - Программа АВЗ - Файл - Отложенное удаление файла. После этого проверьте его наличие.
-