Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Руткит - что делать? (заявка № 25082)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58

    Thumbs up Руткит - что делать?

    Знающий человек нашел руткит и он никак не может его побороть.
    Помогите...
    Вложения Вложения
    Последний раз редактировалось Knopf; 21.06.2008 в 21:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -Knopf, вы перепутали virusinfo_syscure.zip и virusinfo_cure.zip...
    нужно исправить
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
    end.
    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25082 ).

    Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от kps Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
    end.
    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25082 ).

    Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.
    -оба авторана запускают некий fun.xls.exe, который по классификации KasperskyLab является Trojan.Win32.VB.atg
    -посему, необходимо отыскать и удалить и C:\autorun.inf, и D:\autorun.inf, и fun.xls.exe
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  6. #5
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    Alex Plutoff, и что теперь делать?? не уж то сносить винду? *плачет*

    Добавлено через 2 минуты

    Цитата Сообщение от kps Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
    end.
    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25082 ).

    Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.

    Да, Jef239 подзревал его. И что он имя меняет.

    Добавлено через 1 минуту

    Алекс, C:\autorun.inf, или D:\autorun.inf, запускает iTunes....Когда я скачаиваю музыку на плеер.он у меня открывается...
    Последний раз редактировалось Knopf; 21.06.2008 в 22:14. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Цитата Сообщение от Knopf Посмотреть сообщение
    Да, Jef239 подзревал его. И что он имя меняет.
    Зря подозревал Имя у него меняется - это известно. Если раздражает, то можно удалить эмулятор дисков (в чаcтности sptd.sys), тогда sp??.sys больше не появятся.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от Knopf Посмотреть сообщение
    Alex Plutoff, и что теперь делать?? не уж то сносить винду? *плачет*

    Добавлено через 2 минуты




    Да, Jef239 подзревал его. И что он имя меняет.

    Добавлено через 1 минуту

    Алекс, C:\autorun.inf, или D:\autorun.inf, запускает iTunes....Когда я скачаиваю музыку на плеер.он у меня открывается...
    -ещё раз... оба авторана запускают fun.xls.exe http://www.virustotal.com/ru/analisi...ecc093c8baeb01
    -я рекомендую
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\fun.xls.exe');
     DeleteFile('D:\fun.xls.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ...после перезагрузки повторите логи
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  9. #8
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    лог не создается, в протоколе - ошибка.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    Удалось выполнить скрипт без этих строк:
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);

    Иначе писало :Unable Set Data for Display.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -вы, правила в точности выполняете?..
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Knopf Посмотреть сообщение
    лог не создается, в протоколе - ошибка.
    сделайте заново логи как в вашем первом сообщении ...

  13. #12
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    QIP не закрываю, для помощи по аське.

    Добавлено через 32 секунды

    V_Bond, хорошо..сейчас
    Последний раз редактировалось Knopf; 21.06.2008 в 22:56. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    не удалось отключить восстановление Wndows ибо нет нужной вкладки.
    Изображения Изображения

  15. #14
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    Хм.... не хотят появляться логи.
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -это из правил
    2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему (имеется ввиду полная проверка всех дисков уже после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель защищённый от записи) уже из CD запустить утилиту)в безопасном режиме. ~5 mb После этого следует просто перегрузиться ( обычный режим).
    -а тут рекомендации от производителя утилиты: http://freedrweb.com/
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  17. #16
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    Я перезапустилась.Потом запустила 2 скрипт и вот что теперь у меня в логе:
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    Короче вот что теперь:
    Изображения Изображения
    • Тип файла: jpg ттт.JPG (221.0 Кб, 13 просмотров)
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    21.06.2008
    Сообщений
    17
    Вес репутации
    58
    Сделала CureIt по 15ому посту.

    Так же хотела спросить: 3 BHO без фалов - удалять их или нет.
    Наши попытки их удалить не удались.
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Не надо самодеятельности. Скажут - тогда и удалите. HijackThis тоже не всегда правильно существование файлов проверяет и раскрутку последовательностей CLSID делает..

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах ничего плохого ....
    выполните такой скрипт ...
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.

  • Уважаемый(ая) Knopf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на руткит. Подскажите, что делать
      От BlackDragonV в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 30.11.2009, 14:20
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 10:03
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Ответов: 1
      Последнее сообщение: 23.08.2008, 18:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01361 seconds with 20 queries