Показано с 1 по 14 из 14.

Руткит. (заявка № 109592)

  1. #1
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31

    Thumbs up Руткит.

    Была куча различных вирусов. Часть полечил. Остался по поим домыслам один руткит. На данный момент он динамически заблокировал запуск NOD32, AVZ, полиморфного AVZ, ProcessExplorer, ProcessMonitor, Autoruns, HiJackThis. При попытке их запуска получаю: "Отказано в доступе к указанному устройству или файлу". В связи с этим успел выполнить лишь один скрипт AVZ. Прошу понять мою ситуацию и не ругать за невыполнение правил подачи заявок. Как в обычном так и в безопасном режиме висит процесс 2538383405:3528962920.exe, который я не смог остановить никакими средствами.
    Ну и естествено прошу профессиональной помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Saint-technik, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Это ZAccess

    Лог TDSSkiller сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31
    Спасибо, вечером буду у зараженного компа сделаю. Насколько уже понял вышеуказанные мною программы не запускаются по причине того, что вирус "бъет" их exe'шки?

  7. #5
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31
    Как и обещал, лог TDSSKiller.
    Вложения Вложения
    • Тип файла: log tdss.log (49.1 Кб, 6 просмотров)

  8. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Запустите утилиту еще раз

    Это удалите
    2da84c97 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\2538383405:3528962920.exe
    23:10:16.0312 3468 Suspicious file (Hidden): C:\WINDOWS\2538383405:3528962920.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
    23:10:16.0593 3468 2da84c97 ( HiddenFile.Multi.Generic ) - warning
    23:10:16.0593 3468 2da84c97 - detected HiddenFile.Multi.Generic (1)
    Это вылечите
    23:10:27.0453 3468 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: 4ed248a6f7c6da7d456a6946f94604ce, Fake md5: 74b2b2f5bea5e9a3dc021d685551bd3d
    23:10:27.0453 3468 NetBT ( Rootkit.Win32.ZAccess.e ) - infected
    23:10:27.0453 3468 NetBT - detected Rootkit.Win32.ZAccess.e (0)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #7
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31
    Сделал так уже несколько раз. После перезагрузки TDSSKiller снова находит C:\WINDOWS\2538383405:3528962920.exe, и один из драйверов:
    C:\WINDOWS\system32\DRIVERS\netbt.sys
    C:\WINDOWS\system32\DRIVERS\redbook.sys
    C:\WINDOWS\system32\DRIVERS\serial.sys
    C:\WINDOWS\system32\DRIVERS\tcpip.sys
    C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    Симптомы те же.
    Заметил, что запуск AVZGuard решает проблему с блокированием утилит. Могу выполнить доп. логи.

    Добавлено через 22 минуты

    Похоже ZAccess удалил.
    Порядок моих действий:
    1. Запустил AVZ и включил AVZGuard.
    2. В модулях пространства ядра нашел два драйвера со странными именами, которые были подсвечены AVZ PM.
    3. Написал скрипт удаления этих драйверов по имени с помощью BC.
    4. После перезагрузки снова запустил AVZ, включил AVZGuard.
    5. Как доверенный процесс запустил TDSSKiller и выполнил им лечение.
    Перезагрузился и увидел, что пропал процесс 2538383405:3528962920.exe и больше не блокируются антивирусные утилиты.
    Спасибо за помощь. Завтра еще выложу логи согласно правилам и попрошу Вас проверить их на предмет остатков всяческой заразы.
    Последний раз редактировалось Saint-technik; 27.09.2011 в 00:24. Причина: Добавлено

  10. #8
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31
    Посмотрите пожалуйста логи на предмет наличия остатков заразы.
    И еще: в данный момент некоторые файлы на диске С:\ недоступны на запись (например почти все в папке инсталяции NOD32). Права поменять не удается - все элементы управления неактивны, консольный attrib тоже не помогает. Удалить смог только загрузившись с LiveCD. NOD ругается на файлы автозапуска JavaUpdate, SoundMax и пр. как на Win32/Patched.NH и не может произвести очистку. Эти файлы также не доступны на запись.
    Вложения Вложения

  11. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #10
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31
    Лог полного сканирования МВАМ
    Вложения Вложения

  13. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Удалите в МВАМ только указанные строки
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> No action taken.
    
    Зараженные папки:
    c:\program files\mycentria (Adware.MyCentria) -> No action taken.
    c:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken.
    c:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken.
    
    Зараженные файлы:
    c:\program files\mycentria\mycentriauninstall.exe (Adware.MyCentria) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #12
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31
    Удалил. Файлы, на которые ругался нод очистил после остановки соответствующих процессов. На диске остались файлы, которые невозможно удалить, хотя прав достаточно и в реестре есть записи, которые также не удается удалить, например любая запись из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options".
    Кроме этого никаких странностей в системе больше не наблюдается.

  15. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    А зачем Вам удалять записи из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ?
    Если бы среди них были неизвестные и ненужные, МВАМ бы это показал
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #14
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Киев
    Сообщений
    61
    Вес репутации
    31
    Это я еще на этапе установки NOD32 после удаления ZAccess заметил, а после очистки MBAM, проверил еще раз (естественно с бекапом ветки). Буду надеятся, что такое поведение системы в дальнейшем не принесет неприятных сюрпризов.
    Еще раз спасибо за помощь!

  • Уважаемый(ая) Saint-technik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. Руткит
      От DZon в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.12.2009, 09:41
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Руткит
      От Lemmit в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 17.10.2008, 08:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00244 seconds with 17 queries