Показано с 1 по 20 из 20.

Удаление rootkit

  1. #1
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47

    Удаление rootkit

    Чистил у знакомых комп, AVZ нашел скрытый процесс elitelod.exe (или что-то типа этого). Ну, нашел, а что дальше? В виде файла его нет Что удалить - непонятно... Подскажите, как вычистить это безобразие?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest

    Re:Удаление rootkit

    Цитата Сообщение от Energizer
    Чистил у знакомых комп, AVZ нашел скрытый процесс elitelod.exe (или что-то типа этого). Ну, нашел, а что дальше? В виде файла его нет Что удалить - непонятно... Подскажите, как вычистить это безобразие?
    Включить противодействие руткитам. После этого поискать файл из самого АВЗ и поместить в карантин.
    Так же процесс этот можно будет убить из менеджера процессов АВЗ, а после этого он должен быть виден на диске, и можно будет его удалить. Файл прислать нам.

  4. #3
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47

    Re:Удаление rootkit

    В AVZ включал "Блокировать работу rootkit", и AVZ честно блокировал. Или просто писал, что блокировал Процесс убивал с помощью менеджера процессов самого AVZ, но файл на диске не появлялся Файл средствами AVZ не пробовал искать, но любыми другими средствами его увидеть не удалось.
    В реестре нашел несколько записей (опять же с помощью AVZ) про этот Elitelod - удалил. Но одна запись постоянно восстанавливается, что неудивительно, раз сервис до конца не прибивается...

    Самое интересное, что когда сканировал этот диск, загрузившись с другого раздела, то он не находит этого файла. Хотя находит другие Видимо, тоже от этого Elitelod...

    Код:
    Протокол антивирусной утилиты AVZ версии 3.20
    Сканирование запущено в 02.05.2005 14:48:55
    Загружена база: 12964 сигнатуры, 1 нейропрофиль, 43 микропрограммы лечения
    Загружены микропрограммы эвристики: 226
    Загружены цифровые подписи системных файлов: 29483
    Режим эвристического анализатора: Максимальный уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Эталонная KeServiceDescriptorTable найдена (FC=076EC0, RVA=076EC0)
    2. Проверка памяти
     Количество найденных процессов: 11
    Процесс f:\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,tapi32.dll)
     Количество загруженных модулей: 201
    Проверка памяти завершена
    3. Сканирование дисков
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1ZUGHUS\protector_update[1].exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\Documents and Settings\Natasha\Local Settings\Temporary Internet Files\Content.IE5\O1EFGH67\russia[1].exe>>> подозрение на Dialer.PlayGames.b ( 074A29FC 07879342 0022A19B 001FBD3D 16456)
    C:\Documents and Settings\Natasha\msdirectx.sys>>>>> Вирус !! Trojan.Win32.Rootkit.h  успешно удален
    C:\WINDOWS\Downloaded Program Files\v3.dll>>>>> Вирус !! AdvWare.ToolBar.EliteBar.s  успешно удален
    C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll>>>>> Вирус !! AdvWare.ToolBar.EliteBar.z  успешно удален
    C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll>>>>> Вирус !! AdvWare.ToolBar.EliteBar.af  успешно удален
    C:\WINDOWS\system32\elitebra32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitecai32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\eliteggb32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitelhg32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\eliteosm32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\eliteozw32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitetfg32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitevpi32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitewfu32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitexlz32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitexnw32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\eliteyif32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\eliteyza32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\elitezhb32.exe>>>>> Вирус !! Trojan.Win32.StartPage.nk  успешно удален
    C:\WINDOWS\system32\msdirectx.sys>>>>> Вирус !! Trojan.Win32.Rootkit.h  успешно удален
    C:\WINDOWS\system32\msnsvc.exe>>>>> Вирус !! Backdoor.Win32.SdBot.gen  успешно удален
    C:\WINDOWS\system32\russia.exe>>> подозрение на Dialer.PlayGames.b ( 074A29FC 07879342 0022A19B 001FBD3D 16456)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     В базе 320 описаний портов
     На данном ПК открыто 4 TCP портов и 6 UDP портов
     >>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (svchost.exe)
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 51073, найдено вирусов 21
    Сканирование завершено в 02.05.2005 14:58:02
    Сканирование длилось 00:09:10

  5. #4
    Geser
    Guest

    Re:Удаление rootkit

    Короче нужны полные логи как положено.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Удаление rootkit

    Цитата Сообщение от Energizer
    В AVZ включал "Блокировать работу rootkit", и AVZ честно блокировал. Или просто писал, что блокировал Процесс убивал с помощью менеджера процессов самого AVZ, но файл на диске не появлялся Файл средствами AVZ не пробовал искать, но любыми другими средствами его увидеть не удалось.
    ....
    Вот в этом и ошибка - нейтрализатор руткита AVZ действует только на процесс AVZ - именно поэтому после деактивации руткита сам AVZ "видит" маскируемые процессы, файлы, ключи реестра и т.п., а все остальные программы - по прежнему не видят, т.к. деактивация на них не распространяется. Поэтому поиск нужно вести именно их AVZ после сканированя с деактивацией руткита, удаление - тоже.
    Визуально по логу руткит-модуль EliteBar убит (т.к. перехватиа нет), а для "уточнения диагноза" конечно нужны полные логи ...

  7. #6
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47

    Re:Удаление rootkit

    Тут нет перехвата, потому что сканирование запущено после загрузки с другого раздела (с диска Д). А если загрузиться с диска С, то перехват виден. Правда, лог я почему-то не сохранил Виноват - исправлюсь
    Думаю, что после 10 мая я там появлюсь, так что логи будут. А если получится выцепить файлик, то и его притащу... если надо, конечно. Я так понимаю, что не очень надо, раз AVZ об этом модуле знает. Хотя может разновидность какая хитровые... хм... хитросделаная

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280

    Re:Удаление rootkit

    Цитата Сообщение от Energizer
    если получится выцепить файлик, то и его притащу... если надо, конечно. Я так понимаю, что не очень надо, раз AVZ об этом модуле знает.
    Не уверен, что AVZ знает его "в лицо", а обнаружил его, скорее, с помощью специальных методик по обнаружению скрытых процессов, так что присылайте файлик, если найдете - если в базе AVZ его нет, то Олег, скорее всего, сделает вакцину

  9. #8
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47
    Наконец-то я добрался до этого компа с вредным руткитом...

    Самое интересное, что на этот раз его не оказалось (если верить AVZ 3.50, а в тот раз было AVZ 3.20), зато оказалось много новых зверушек и новый руткит - zzzx3yo.exe
    Ситуяйция опять такая же: AVZ видит, но ничего не делает. После убивания процесса с помощью AVZ, файл все равно на диске не появляется. Искал и с помощью AVZ, и с помощью Total Commander.
    В итоге, скопировал этот процесс в карантин AVZ, посмотрел размер файла (127 488 байт), нашел единственный файл с таким размером stuff[1].exe (он оказался в Temporary Internet Files, то есть явно с инета залетел), удалил, перегрузился... фиг! ничего не изменилось
    Грязно и витиевато выругавшись, загрузился с другого раздела. И наконец-то смог увидеть этот zzzx3yo.exe! Кстати, в прошлый раз с Elitelod такой трюк не получался почему-то... Ну, копирнул файлик на флешку, в каталоге прибил, перегрузился - все пучком Никто ничего не перехватывает, не маскируется... Заодно еще и в реестре нашел записи этого руткита, опять же скопировал на флешку. Так что, если надо, то могу выслать для исследований...

    Кстати, есть несколько файликов, на которые AVZ ошибочно ругается, подозревая их в непорядочности Например, switchit.cpl и AdMunch.dll. Первый - это обычный переключатель клавы, второй - удалитель рекламы в инете. Куда прислать файлики?
    Кролики - это не только ценный мех!

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для egik
    Регистрация
    30.10.2004
    Адрес
    Россия, Новороссийск
    Сообщений
    640
    Вес репутации
    59
    Total Commander здесь врят ли поможет, лучше Far, а как искать файлы на компе читай инструкцию, есть в правилах
    Последний раз редактировалось anton_dr; 02.08.2007 в 20:40.

  11. #10
    Geser
    Guest
    Цитата Сообщение от Energizer
    Куда прислать файлики?
    admin собака virusinfo.info

  12. #11
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47
    Цитата Сообщение от egik
    Total Commander здесь врят ли поможет, лучше Far, а как искать файлы на компе читай инструкцию, есть в правилах
    С каких это пор Total Commander разучился файлы искать? И ФАР тут ничем не лучше, кстати. Если так рассуждать, то и AVZ не умеет файлы искать, раз он ничего не нашел...
    А инструкция в правилах для новичков, которые не знают ничего про аттрибуты файлов. Я знаю, честное слово
    Последний раз редактировалось anton_dr; 02.08.2007 в 20:41.
    Кролики - это не только ценный мех!

  13. #12
    Geser
    Guest
    Цитата Сообщение от Energizer
    С каких это пор Total Commander разучился файлы искать? И ФАР тут ничем не лучше, кстати. Если так рассуждать, то и AVZ не умеет файлы искать, раз он ничего не нашел...
    А инструкция в правилах для новичков, которые не знают ничего про аттрибуты файлов. Я знаю, честное слово
    Искать файлы руткита нужно только в АВЗ, и только после того как было включено противодействие руткитам и выполнено сканирование.
    Последний раз редактировалось anton_dr; 02.08.2007 в 20:41.

  14. #13
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47
    Цитата Сообщение от Geser
    Искать файлы руткита нужно только в АВЗ, и только после того как было включено противодействие руткитам и выполнено сканирование.
    Так и делал. Результат - ноль...
    Кролики - это не только ценный мех!

  15. #14
    Geser
    Guest
    Цитата Сообщение от Energizer
    Так и делал. Результат - ноль...
    НУжно было сохранять логи АВЗ. Теперь единственная возможность узнать в чем ыла проблема - это послать этот файл Олегу. Хотя не факт что в системе не остался драйвер который этот файл маскировал. неплохо бы увидеть логи с того компютера.

  16. #15
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47
    Цитата Сообщение от Geser
    НУжно было сохранять логи АВЗ. Теперь единственная возможность узнать в чем ыла проблема - это послать этот файл Олегу. Хотя не факт что в системе не остался драйвер который этот файл маскировал. неплохо бы увидеть логи с того компютера.
    Есть логи, есть! Теперь-то я сохранил все. Сейчас покажу...

    Кстати, файлики выслал. И чистые, и с руткитом.
    Кролики - это не только ценный мех!

  17. #16
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47
    Вот они, логи...

    rud_1.txt - самое начало.
    Кстати, AVZ не понимает свои же файлы в Infected и Quarantine. Это видно по сканированию диска Е, где был каталог с AVZ от прошлого раза.
    Надо заметить, что NAV, например, на свой карантин не ругается...

    rud_2.txt - дополнительно удалил руками подозрительные файлы.

    rud_3c.txt - нашлись новые гадости. Почему их нет во втором сканировании?

    rud_4.txt - тут уже все чисто, кроме одного руткита.

    Ну, совсем чистый лог сохранять не стал
    Кролики - это не только ценный мех!

  18. #17
    Geser
    Guest
    Проведём следственный эксперемент. Создай текстовый файлик, переименуй его в zzzx3yo.exe и положи в
    C:\WINDOWS\System32\
    Этот файл виден, или исчезает?
    (Конечно всё на том компе на котором был руткит)

  19. #18
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47
    Цитата Сообщение от Geser
    Проведём следственный эксперемент. Создай текстовый файлик, переименуй его в zzzx3yo.exe и положи в
    C:\WINDOWS\System32\
    Этот файл виден, или исчезает?
    (Конечно всё на том компе на котором был руткит)
    Хм, боюсь, что я теперь там не скоро окажусь....

    Но чисто теоритически, никуда он не исчезнет... если его не запускать В реестре про него записи я тоже удалил...

    Опс! Или есть мнение, что в системе сидит нечто, что будет пытаться загрузить это zzzx3yo.exe?
    Кролики - это не только ценный мех!

  20. #19
    Geser
    Guest
    Цитата Сообщение от Energizer

    Опс! Или есть мнение, что в системе сидит нечто, что будет пытаться загрузить это zzzx3yo.exe?
    Угу, драйверок какой-то

  21. #20
    Junior Member Репутация
    Регистрация
    22.03.2005
    Сообщений
    19
    Вес репутации
    47
    Цитата Сообщение от Geser
    Угу, драйверок какой-то
    Ну что ж, тогда, как говорится, "оставайтесь с нами"

    ... to be continue...
    Кролики - это не только ценный мех!

Похожие темы

  1. Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 Вирусы?
    От Romik_lv в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 13.09.2011, 19:34
  2. Удаление explorer.exe:user.ini и подозрение на RootKit
    От Makcumka в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 21.05.2010, 13:59
  3. Ответов: 2
    Последнее сообщение: 29.07.2009, 16:20
  4. Полное удаление Rootkit.Win32.Agent
    От Rocky_nsk в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.02.2009, 02:36
  5. Rootkit that bypasses Anti-Rootkit Software
    От Simple10 в разделе Viruses, Adware, Spyware, Hijackers
    Ответов: 3
    Последнее сообщение: 22.02.2008, 07:20

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00759 seconds with 16 queries