Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

ROOTKIТ: не запускается диспетчер задач! (заявка № 13899)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37

    Thumbs up ROOTKIТ: не запускается диспетчер задач!

    Обнаружен trojan-spy(keylogger), rootkit agent. Трояна вроде удалила, руткит не могу - и не запускается диспетчер(пишет, что отключен админом), не меняеся фон раб. стола. Помогите пожалуйста! заранее спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37

    Готово

    Вложение
    Последний раз редактировалось Alcur; 10.06.2008 в 15:50.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\codeblocks.exe,
    O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\bho.dll (file missing)
    O4 - HKLM\..\Run: [System32] C:\WINDOWS\system32\frmwrk.exe
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\windll32.exe internet.dll,LoadNetworkProfile
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe
    I am not young enough to know everything...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\bho.dll','');
     QuarantineFile('C:\WINDOWS\system32\windll32.exe','');
     QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
     QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
     QuarantineFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\frmwrk.exe','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     DeleteFile('C:\WINDOWS\system32\frmwrk.exe');
     DeleteFile('C:\WINDOWS\system32\windll32.exe');
     DeleteFile('C:\DOCUME~1\D19D~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');     
     DeleteFile('C:\WINDOWS\system32\bho.dll');
     BC_ImportAll;
     BC_DeleteSvc('FCI') ;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пришлите карантин и повторите логи

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Как описано в приложении 3 Правил

  7. #6
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37
    Карантин есть?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Карантин есть, но там ничего интересного.
    Сделайте в AVZ: Файл - Восстановление системы - отметить п.5, 6, 8, 11 - Выполнить. И давайте новые логи.
    I am not young enough to know everything...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\ApprenticeServer\AssemblyTree\Assembl y Tree.exe
    C:\Program Files\Autodesk\Inventor 10\SDK\Samples\VB\Standalone Applications\Inventor\iPart\UpdateiPartMem.exe

    Только они попали в карантин, вроде чистые... повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37
    Так. я щас отправляю логи по запросу Рубина в 16.30.
    После этого делать восстановление 56811 и новые логи по запросу Братца?
    Простите пожалуйста - не могу понять чьи указания делать... Да и логи долго делаются- вы успеваете еще попросить...Глаза разбегаются!
    Последний раз редактировалось Alcur; 10.06.2008 в 15:50.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Надо было все действия сделать, потом логи
    Ну да ладно. Сделайте восстановление, как я писал, и сообщите, есть ли положительный эффект.
    I am not young enough to know everything...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    По последним присланным Вами логам...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Consistent Software\NormaCS 1.0\pph.dll','');
     BC_ImportQuarantineList;
     BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_QrSvc('FCI');
     BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.

  13. #12
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37
    Положительный эффект после восстановления ЕСТЬ! Дисп заработал, но только нас фоном проблемы -картинку выбрать дает,(раньше всё было неактивно), но на рабочем столе пусто. А этот руткит СЕЙЧАС не отсылает ли мои скриншоты и др. инфу в инет? Я этого боюсь и пароли жалко.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    После выполнения последнего скрипта пришлите пожалуйста карантин.

  15. #14
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37
    Сейчас лог делается. Пришлю карантин одновременно с логами

  16. #15
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37

    Логи3

    После скрипта.Каринтин послала
    меня уже с работы выгоняют. Можно ли завтра продолжить? Спасибо
    Последний раз редактировалось Alcur; 10.06.2008 в 15:50.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    .AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    В логах ничего зловредного не просматривается.
    Что из этого вам нужно?остальное поправим
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  18. #17
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37
    Добрый День!
    Мне надо, чтобы всё работало. Я могу эти службы запускать "вручную", если понадобится. Это поможет? ПК в ЛВС.

    Добавлено через 39 минут

    RemoteRegistry (Удаленный реестр) выкл, вручную
    TermService (Службы терминалов) работает(не выключается вообще -неактивно), отключено
    SSDPSRV (Служба обнаружения SSDP) раб, вручн.
    Messenger (Служба сообщений) работает, авто.
    Schedule (Планировщик заданий) раб, вручн.
    mnmsrvc (NetMeeting Remote Desktop Sharing) откл, вручную,
    RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) откл, вручную,
    В таком состоянии сейчас у меня службы. Что неверно(если есть?).
    И еще вопрос, Как узнать, отсылает ли руткит данные ?

    Добавлено через 2 часа 20 минут

    И еще вопрос, Как узнать, отсылает ли руткит данные ?
    Последний раз редактировалось Alcur; 07.11.2007 в 12:41. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Руткита уже нет, ничего отсылаться не должно.

  20. #19
    Junior Member Репутация
    Регистрация
    06.11.2007
    Адрес
    Москва
    Сообщений
    47
    Вес репутации
    37
    только сейчас заметила!!! В моем компьютере появилась папка Веб-папки/мои узлы сети МСН, просит пароль и логин. Вчера этого г.. не было!!!!!Что это такое?

    Добавлено через 1 минуту

    Посоветуйте файервол попроще и что-нибудь для учета своего трафика, пожалуйста.

    И еще. Нужно ли мне включить восстановление системы обратно?

    заранее спасибо!
    Последний раз редактировалось Alcur; 07.11.2007 в 13:02. Причина: Добавлено

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Учет траффика - TrafficMeter
    Фаерволлы - ZoneAlarm, Agnitum Outpost или комплексные решения - антивирус + фаерволл (например KIS 7.0)

  • Уважаемый(ая) Alcur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не запускается диспетчер задач
      От Alex_kaa в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.07.2011, 00:46
    2. Не запускается диспетчер задач
      От oman1971 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.01.2011, 23:26
    3. Не запускается диспетчер задач
      От anedro в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.09.2010, 09:53
    4. Ответов: 6
      Последнее сообщение: 09.09.2010, 00:04
    5. Не запускается Диспетчер задач
      От kycher в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.01.2010, 18:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01477 seconds with 16 queries