Подозрение на руткит или на удаленый доступ к системе
На файл-сервере, к которому есть доступ у нескольких пользователей, сегодня поудалялись большое количество папок. По сути почти половина. Поскольку удалены были только папки с общим доступом и из личных папок пользователей оказались удалены исключительно мои, то первым делом решил проверить свою систему. НОД32, который работает на машине, ничего не обнаружил при полной проверке.
AVZ при максимальном эвристическом уровне и включенном обнаружении всего что только можно находит с десяток проблем по типу:
Функция ХХХ перехвачена, метод УУУ
Перехватчик ХХХ нейтирализован
И намертво зависает на строке:
Функция ААА перехвачена, метод CodeHijack (метод не определен)
При попытке запустить скрипт поиска и удаления руткитов точно также зависает то ли на этой же строке, то ли на похожей.
Система 64 битная, поэтому вложения из первого пункта из темы "Правила! Читать перед запросом о помощи!" нет. Только два остальных.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) myakawasan, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Andrey\AppData\Roaming\newSI_4396\s_inst.exe','');
QuarantineFile('C:\Users\Andrey\AppData\Roaming\newSI_2149\s_inst.exe','');
QuarantineFile('C:\Users\Andrey\AppData\Roaming\newSI_1\s_inst.exe','');
QuarantineFile('C:\Users\Andrey\AppData\Roaming\Browsers\exe.erolpxei.bat','');
DeleteFile('C:\Users\Andrey\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Andrey\AppData\Roaming\newSI_1\s_inst.exe','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_1.job','32');
DeleteFile('C:\Users\Andrey\AppData\Roaming\newSI_2149\s_inst.exe','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_2149.job','32');
DeleteFile('C:\Users\Andrey\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_4396.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Сделано. Но архив карантина не получается прикрепить. Пишет, что уже прикреплен. Может быть прикрепился уже, просто что-то у меня глючит, в любом случае архив пустой.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect