Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Завелся руткит? (заявка № 14575)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48

    Thumbs up Завелся руткит?

    При загрузке компа были подозрительные запросы от файла SVHOST.exe .
    Выполнил правила - подозрения на руткит
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ....
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\P17.dll','');
     QuarantineFile('C:\SOFT\Squid\cmd\logrotation.cmd','');
     QuarantineFile('C:\SOFT\Squid\cmd\rotatedemon.cmd','');
    end.
    пришлите карантин согласно приложения 3 правил ....
    сделайте лог http://virusinfo.info/showthread.php?t=10387

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Скрипт выполню, а карантинный архив не влез... Он туда от души напихал файлов от Outpost Firewall Pro
    SQUID мне не нужен в наст. время могу совсем снести...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    Карантин не нужно прикреплять к теме - загрузите его по ссылке http://virusinfo.info/upload_virus.php?tid=14575

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Скрипт Информация для Virusinfo собраный в системе, загруженной штатным образом. Скрипт выполнил, файлы приложены
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    нужен карантин ....
    выполните скрипт...
    Код:
    begin
     ClearQuarantine;
    end.
    затем скрипт из поста 2 ....
    карантин загрузите по ссылке ... http://virusinfo.info/upload_virus.php?tid=14575

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Дык загружал же... по ссылке карантин по результатам пыполнения скрипта.
    Или его надо было запускать в Safe Mode, и включенном в AVZ режиме борьбы с kernel руткитами ?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    присланные файлы чистые .....
    сделайте лог http://virusinfo.info/showthread.php?t=10387

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Ок. Результат выполнения скрипта по поиску Rootkit:
    Код:
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100924DE]
     >>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
    Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1009250A]
     >>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1009219A]
     >>> Код руткита в функции EndTask нейтрализован
    Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[10092116]
     >>> Код руткита в функции ExitWindowsEx нейтрализован
    Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[10092142]
     >>> Код руткита в функции SetForegroundWindow нейтрализован
    Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1009216E]
     >>> Код руткита в функции SetWindowPos нейтрализован
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    В Логе IVVPVUPVNQDI.exe - файл созданный rootkitrevealer-ом при запуске.
    Результат запуска AntiRootkit утилиты:
    Код:
    E:\Distrib\security\Rootkit\modGREPER-0.3-bin>modgreper -h
    modGREPER 0.3, written by Joanna Rutkowska (2005)
    http://invisiblethings.org
    searching phase 1 completed.
    searching phase 2 completed.
    
    ? 804d7000 - 806e2000 : \WINDOWS\system32\ntkrnlpa.exe
    ? 806e2000 - 80702d00 : \WINDOWS\system32\hal.dll
    ? bada8000 - badaa000 : \WINDOWS\system32\KDCOM.DLL
    ? bacb8000 - bacbb000 : \WINDOWS\system32\BOOTVID.dll
    ? badaa000 - badac000 : \WINDOWS\system32\DRIVERS\WMILIB.SYS
    ? bab28000 - bab2f000 : \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
    ? ba6dd000 - ba6f5000 : \WINDOWS\system32\drivers\SCSIPORT.SYS
    ? ba8f8000 - ba905000 : \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
    ? bab38000 - bab3d000 : \WINDOWS\system32\drivers\TDI.SYS
    ? b6a9f000 - b6ab7000 : \SystemRoot\System32\Drivers\dump_atapi.sys
    ? bae5a000 - bae5c000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    ? b4346000 - b436a000 : \SystemRoot\System32\Drivers\IsPubDrv.sys
    ? bae50000 - bae52000 : \??\C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS
    
    THERE ARE 13 SUSPECTED MODULE(S)!!!
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\DOCUME~1\Helgin\LOCALS~1\Temp\IVVPVUPVNQDI.exe','');
    BC_Importall;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\DOCUME~1\Helgin\LOCALS~1\Temp\IVVPVUPVNQDI.exe','');
    BC_Importall;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    Это файл созданный Rootkit Revealer после его запуска.
    Проблема теперь в другом. Накернилась вся винда - при загрузке синий экран с надписью не могу загрузить logon.... чего то кракозябрами.
    Буду пытаться реанимировать в Safe mode, или делать инсталяцию поверх (восстановление системы) Посмотрим что будет тогда.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3003
    Цитата Сообщение от Helgin Посмотреть сообщение
    Это файл созданный Rootkit Revealer после его запуска.
    Rootkit Revealer создает при работе исполняемые файлы? Никогда не слышал. Выполните пожалуйста скрипт V_Bond.

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Rootkit Revealer создает при работе исполняемые файлы? Никогда не слышал. Выполните пожалуйста скрипт V_Bond.
    Как только подниму систему, так прогоню ещё раз сканы, и скрипты.

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Систему удалось поднять только переустановкой с затиранеим предыдущей версии. Режим накатки сверху страшно глючил (на найден файл, укажите где находится - обзор файл видит, но копировать отказывается.)
    Таким образом сейчас у меня девственая система, AVZ при запуске сканирования системы ничего красного не выдаёт.
    Что сделать , чтобы найти зловреда до того как он опять встроится в систему? Как предотвратить внедрение?
    1-е желание сейчас - поставить Каспера и Agnitum но поможет ли от этого?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    Предложения конечно хорошо, с т.з. ликбеза.
    Но конкретно сейчас мне надо будет переставлять все программы, и работать буду под админом для этого. Что мне надо сделать сейчас, пока вируса нет в активной форме? Поможет ли сканирование диска каспером сразу после его установки, если он не ловил руткит до этого?
    Или CureIt-ом? Где зловред мог сохраниться? Будет ли KAV 7 (с ключенной проактивкой) препятствовать его инсталяции в систему? А что делать, ведь во время установки софта KAV временно отключается?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Скорее всего вы удалили вирус вместе со старой системой, но просканировать весь диск KAV'ом со свежими базами лишним не будет.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    48
    СПАСИБО, после переустановки системы проверил свежим cureit, после установки каспера прогнал полную проверку - все чисто. Тем не менее AVZ выдает следующее.
    Думаю может это все проявления активности Agnitum Outpost V6?
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    ничего подозрительного в логах ....

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Кстати руткиты без прав админа не устанавливаются

  • Уважаемый(ая) Helgin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Завелся вредитель
      От truesergun в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.11.2011, 19:49
    2. Подозрение что завелся руткит
      От ZemucS в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.02.2011, 17:52
    3. Завелся marioforever.exe
      От bbkanal в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.03.2009, 14:38
    4. Завелся троян.
      От Дмитрий в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 01:46
    5. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01284 seconds with 17 queries