Показано с 1 по 20 из 20.

Вроде бы руткит (заявка № 102016)

  1. #1
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25

    Exclamation Вроде бы руткит

    Здравствуйте! Аваст определяет, что в моей системе обнаружен подозрительный скрытый объект (руткит) и рекомендует немедленно удалить этот объект. Несколько раз уже запускал проверку системы - без результата. Скрипты прилагаю:

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
    O4 - S-1-5-18 Startup: PowerReg Scheduler.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: PowerReg Scheduler.exe (User 'Default user')
    O4 - Startup: PowerReg Scheduler.exe
    Выполните скрипт в AVZ:
    Код:
    procedure WhatService(AServiceName : string);
    var
    dllname, servicekey : string;
    begin
    AddToLog('=== '+AServiceName+' ===');
    servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
    RegKeyResetSecurity( 'HKLM', servicekey);
    RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
    AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
    AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
    AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
    dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
    AddToLog('ServiceDll: '+dllname);
    QuarantineFile(dllname,'');
    end;
    begin
    SetAVZGuardStatus(True);
    WhatService('fjryg');
    BC_ImportAll;
    BC_Activate;
    SaveLog(GetAVZDirectory+'fjryg.log');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=102016).
    Прикрепите сюда файл fjryg.log из папки с AVZ.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    Всё сделал, карантин отправил, файл вложил

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
     var
      i : integer; 
      KeyList : TStringList;
      KeyName : string;                           
     begin
      RegKeyResetSecurity(ARoot, AName);
      KeyList := TStringList.Create;
      RegKeyEnumKey(ARoot, AName, KeyList);
      for i := 0 to KeyList.Count-1 do
       begin
        KeyName := AName+'\'+KeyList[i];
        RegKeyResetSecurity(ARoot, KeyName);
        RegKeyResetSecurityEx(ARoot, KeyName);
       end;
      KeyList.Free;
     end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
     var
      i : integer;
      KeyList : TStringList;
      KeyName : string;                           
     begin
      Result := 0;
      if StopService(AServiceName) then Result := Result or 1;
      if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
      KeyList := TStringList.Create;
      RegKeyEnumKey('HKLM','SYSTEM', KeyList);
      for i := 0 to KeyList.Count-1 do
       if pos('controlset', LowerCase(KeyList[i])) > 0 then
        begin
         KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
         if RegKeyExistsEx('HKLM', KeyName) then
          begin
           Result := Result or 4;                  
           RegKeyResetSecurityEx('HKLM', KeyName);
           RegKeyDel('HKLM', KeyName);
           if RegKeyExistsEx('HKLM', KeyName) then               
           Result := Result or 8;                  
          end;
        end;                 
      if AIsSvcHosted then
        BC_DeleteSvcReg(AServiceName)
       else
        BC_DeleteSvc(AServiceName);
      KeyList.Free;
     end;
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     BC_ServiceKill('fjryg');
     DeleteFile('C:\WINDOWS\system32\opkggwpv.dll');
     BC_ImportAll;
     ExecuteSysClean;
      BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  6. #5
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    сделал

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте в AVZ:
    Файл - Восстановление системы - п.8 - Выполнить.

    Больше ничего плохого не видно.

    Рекомендуется установить SP3 и последующие обновления.
    (Может потребоваться повторная активация Windows).
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    нее всё равно всплывает табличка((( А может быть так, что там никакого руткита нет, и это просто какой то объект??

    Добавлено через 4 минуты

    и ещё под повторной активацией Windows подразумевается переустановка системы??
    Последний раз редактировалось prohil; 12.05.2011 в 14:20. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от prohil Посмотреть сообщение
    всё равно всплывает табличка
    Процитируйте полностью или сделайте скриншот.

    Сделайте лог gmer.

    Цитата Сообщение от prohil Посмотреть сообщение
    под повторной активацией Windows подразумевается переустановка системы??
    Нет, конечно!
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    ссылка на gmer была какая то кривая, так что скачал из другого места

    Добавлено через 8 минут

    ээм скрин не вставляется
    Последний раз редактировалось prohil; 12.05.2011 в 18:31. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    лог

  12. #11
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    вроде бы обнаружил руткит

    Добавлено через 6 минут

    Цитата: В вашей систему обнаружен подозрительный скрытый объект(руткит). Это может быть признаком заражения. Рекомендуется немедленно удалить объект.
    ИНФОРМАЦИЯ О РУТКИТЕ:
    Имя файла (какая то стрелочка вниз)

    C:\WINDOWS\system32\sptd.sys F

    Добавлено через 2 минуты

    между имя файла и стрелочкой большой пробел и между С:...... и F тоже пробел
    Последний раз редактировалось prohil; 12.05.2011 в 18:43. Причина: Добавлено

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Лог TDSSkiller сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    УРААААА!!!! Руткит удалился. Установил эту программу (TDSSkiller), просканировал, он мне обнаружил пару угроз ( в том числе этот файл C:\WINDOWS\system32\sptd.sys), и при перезагрузке удалил вроде всё. СПАСИБО!
    Лог я думаю уже не надо присылать??)))

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Пришлите лог. Интересно взглянуть
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    который в папке с программой или который после проверки на руткиты можно посмотреть??

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    На диске C ищите лог TDSSkiller
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

  19. #18
    Junior Member Репутация
    Регистрация
    04.05.2011
    Сообщений
    10
    Вес репутации
    25
    Не знаю какакой именно нужно так что выкладываю все

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    sptd.sys это вряд ли был зловред. Файл от эмулятора дисков
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) prohil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вроде как кто живет, а вроде и нет
      От Бумбарам в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.11.2010, 19:33
    2. Руткит ...вроде бы
      От giggs в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:42
    3. Замучал руткит (вроде Win32 Podnuha-bj)
      От pitt в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:26
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:45
    5. Вроде kido, а вроде нет
      От voldemar в разделе Помогите!
      Ответов: 31
      Последнее сообщение: 01.02.2009, 21:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01337 seconds with 16 queries