При загрузке компа были подозрительные запросы от файла SVHOST.exe .
Выполнил правила - подозрения на руткит
При загрузке компа были подозрительные запросы от файла SVHOST.exe .
Выполнил правила - подозрения на руткит
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ....Код:begin QuarantineFile('C:\WINDOWS\system32\P17.dll',''); QuarantineFile('C:\SOFT\Squid\cmd\logrotation.cmd',''); QuarantineFile('C:\SOFT\Squid\cmd\rotatedemon.cmd',''); end.
сделайте лог http://virusinfo.info/showthread.php?t=10387
Скрипт выполню, а карантинный архив не влез... Он туда от души напихал файлов от Outpost Firewall Pro
SQUID мне не нужен в наст. время могу совсем снести...
Карантин не нужно прикреплять к теме - загрузите его по ссылке http://virusinfo.info/upload_virus.php?tid=14575
Скрипт Информация для Virusinfo собраный в системе, загруженной штатным образом. Скрипт выполнил, файлы приложены
нужен карантин ....
выполните скрипт...
затем скрипт из поста 2 ....Код:begin ClearQuarantine; end.
карантин загрузите по ссылке ... http://virusinfo.info/upload_virus.php?tid=14575
Дык загружал же... по ссылке карантин по результатам пыполнения скрипта.
Или его надо было запускать в Safe Mode, и включенном в AVZ режиме борьбы с kernel руткитами ?
присланные файлы чистые .....
сделайте лог http://virusinfo.info/showthread.php?t=10387
Ок. Результат выполнения скрипта по поиску Rootkit:
В Логе IVVPVUPVNQDI.exe - файл созданный rootkitrevealer-ом при запуске.Код:1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[100924DE] >>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1009250A] >>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1009219A] >>> Код руткита в функции EndTask нейтрализован Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[10092116] >>> Код руткита в функции ExitWindowsEx нейтрализован Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[10092142] >>> Код руткита в функции SetForegroundWindow нейтрализован Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1009216E] >>> Код руткита в функции SetWindowPos нейтрализован Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text
Результат запуска AntiRootkit утилиты:
Код:E:\Distrib\security\Rootkit\modGREPER-0.3-bin>modgreper -h modGREPER 0.3, written by Joanna Rutkowska (2005) http://invisiblethings.org searching phase 1 completed. searching phase 2 completed. ? 804d7000 - 806e2000 : \WINDOWS\system32\ntkrnlpa.exe ? 806e2000 - 80702d00 : \WINDOWS\system32\hal.dll ? bada8000 - badaa000 : \WINDOWS\system32\KDCOM.DLL ? bacb8000 - bacbb000 : \WINDOWS\system32\BOOTVID.dll ? badaa000 - badac000 : \WINDOWS\system32\DRIVERS\WMILIB.SYS ? bab28000 - bab2f000 : \WINDOWS\system32\DRIVERS\PCIIDEX.SYS ? ba6dd000 - ba6f5000 : \WINDOWS\system32\drivers\SCSIPORT.SYS ? ba8f8000 - ba905000 : \WINDOWS\system32\DRIVERS\CLASSPNP.SYS ? bab38000 - bab3d000 : \WINDOWS\system32\drivers\TDI.SYS ? b6a9f000 - b6ab7000 : \SystemRoot\System32\Drivers\dump_atapi.sys ? bae5a000 - bae5c000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYS ? b4346000 - b436a000 : \SystemRoot\System32\Drivers\IsPubDrv.sys ? bae50000 - bae52000 : \??\C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS THERE ARE 13 SUSPECTED MODULE(S)!!!
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\DOCUME~1\Helgin\LOCALS~1\Temp\IVVPVUPVNQDI.exe',''); BC_Importall; RebootWindows(true); end.
Это файл созданный Rootkit Revealer после его запуска.
Проблема теперь в другом. Накернилась вся винда - при загрузке синий экран с надписью не могу загрузить logon.... чего то кракозябрами.
Буду пытаться реанимировать в Safe mode, или делать инсталяцию поверх (восстановление системы) Посмотрим что будет тогда.
Систему удалось поднять только переустановкой с затиранеим предыдущей версии. Режим накатки сверху страшно глючил (на найден файл, укажите где находится - обзор файл видит, но копировать отказывается.)
Таким образом сейчас у меня девственая система, AVZ при запуске сканирования системы ничего красного не выдаёт.
Что сделать , чтобы найти зловреда до того как он опять встроится в систему? Как предотвратить внедрение?
1-е желание сейчас - поставить Каспера и Agnitum но поможет ли от этого?
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Предложения конечно хорошо, с т.з. ликбеза.
Но конкретно сейчас мне надо будет переставлять все программы, и работать буду под админом для этого. Что мне надо сделать сейчас, пока вируса нет в активной форме? Поможет ли сканирование диска каспером сразу после его установки, если он не ловил руткит до этого?
Или CureIt-ом? Где зловред мог сохраниться? Будет ли KAV 7 (с ключенной проактивкой) препятствовать его инсталяции в систему? А что делать, ведь во время установки софта KAV временно отключается?
Скорее всего вы удалили вирус вместе со старой системой, но просканировать весь диск KAV'ом со свежими базами лишним не будет.
I am not young enough to know everything...
СПАСИБО, после переустановки системы проверил свежим cureit, после установки каспера прогнал полную проверку - все чисто. Тем не менее AVZ выдает следующее.
Думаю может это все проявления активности Agnitum Outpost V6?
ничего подозрительного в логах ....
Кстати руткиты без прав админа не устанавливаются
Уважаемый(ая) Helgin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.