Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Руткит ? (заявка № 114261)

  1. #1
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27

    Руткит ?

    Здравствуйте.
    Началось все с отказа запуска Office 2007 (Word, Excel)
    Запустить CureIt! и AVPTool не удалось.

    Пытался "Блокировать работу Rootkit ..." AVZ зависает.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Sem0709, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Student (P) Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для crush13
    Регистрация
    28.05.2010
    Адрес
    Курган
    Сообщений
    680
    Вес репутации
    54
    Sem0709, здравствуйте.
    Это Вам знакомо?
    Код:
    C:\Windows\winstart.bat
    1. Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
    Код:
    begin
    SearchRootkit(true, true);
     ClearQuarantine;
     QuarantineFile('C:\Windows\SysWOW64\nvinit.dll','');
     QuarantineFile('C:\Windows\System32\relpost.exe','');
     QuarantineFile('C:\Windows\system32\qmgr.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    2. После перезагрузки выполните такой скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
    [RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
    [RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
    [RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]

  5. #4
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Это Вам знакомо?
    Код:
    C:\Windows\winstart.bat
    Нет. Но я проверял, батник пустой.


    1. Выполните скрипт в AVZ....
    Не выполняется - AVZ зависает.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Цитата Сообщение от Sem0709 Посмотреть сообщение
    Не выполняется - AVZ зависает.
    Строку
    Код:
    SearchRootkit(true, true);
    удалите и попробуйте запустить.

  7. #6
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Да, выполнился, НО, в папку карантин ничего не перемешается, сам AVZ пишет что-то про ошибку прямого чтения (это до перезагрузки). После перезагрузки выполняю второй скрипт, создается архив, почему-то winRAR пишет что он поврежден и весит он 1Кб.

    Файл через форму сайта не загружается, пишет что файл уже был загружен...

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  9. #8
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Пробовал, не устанавливается. Пишет что-то про доступ к папке "ProgramData".

    MBAM в эту папку конфиги должен скопировать, а у него почему-то нет доступа, без них (конфигов) он не запускается. Права на учетке администратора, запускал от администратора - четно.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Цитата Сообщение от Sem0709 Посмотреть сообщение
    Пишет что-то про доступ к папке "ProgramData".
    А если правой кнопкой мыши и "запустить от имени администратора"?

  11. #10
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Запускал.

    Невозможно создать папку...
    Ошибка 5: Отказано в доступе...

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  13. #12
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Сделайте лог RSIT
    Вот:
    Вложения Вложения
    • Тип файла: txt log.txt (49.9 Кб, 1 просмотров)
    • Тип файла: txt info.txt (56.6 Кб, 0 просмотров)

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  15. #14
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Сделайте лог TDSS
    Вот:
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383

  17. #16
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Цитата Сообщение от Techno Посмотреть сообщение
    Вот:
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\E3DA.tmp
    c:\windows\system32\F353.tmp
    c:\windows\system32\8297.tmp
    Driver::
    MEMSWEEP2
    
    Folder::
    
    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MEMSWEEP2]
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Что с проблемами?

  19. #18
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Excel, Word не запускается.
    MBAM по прежнему не устанавливается, ошибка та же.

    Попытаться ещё раз блокировать Рудкит с помощью AVZ ?

    Лог:
    Вложения Вложения
    Последний раз редактировалось Sem0709; 27.12.2011 в 11:19.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Цитата Сообщение от Sem0709 Посмотреть сообщение
    Попытаться ещё раз блокировать Рудкит с помощью AVZ ?
    Каким образом и что Вы блокируете с помощью АВЗ?

  21. #20
    Junior Member Репутация
    Регистрация
    01.09.2010
    Сообщений
    19
    Вес репутации
    27
    Наверное это я лишнее ляпнул

    Цитата Сообщение от Techno Посмотреть сообщение
    Каким образом и что Вы блокируете с помощью АВЗ?
    Я имел ввиду опции:
    - Блокировать работу Rootkit User-mode
    - Блокировать работу Rootkit Kernel-mode

    До написания первого поста, их использование приводило к зависанию AVZ.

  • Уважаемый(ая) Sem0709, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. Руткит
      От DZon в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.12.2009, 09:41
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Руткит
      От Lemmit в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 17.10.2008, 08:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00103 seconds with 21 queries