Показано с 1 по 20 из 20.

Подозрение на троян и руткит. (заявка № 27159)

  1. #1
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35

    Thumbs up Подозрение на троян и руткит.

    Будте добры проанализируйте мои логи.Серьезных проблем нет , но есть подозрение что какая-то "живность" есть , сами по себе изменяются настройки проводника , отображение папок , кроме того не понятный входящий трафик.Сделал все как написано в правилах.Еще проблема AVZ определяет что восстановление системы включено , хотя оно выключеноВложение 63828Вложение 63829 даже службу эту отключилВложение 63830
    Вот логи
    Последний раз редактировалось Оптим; 05.08.2008 в 21:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    авз запускать от имени администратора ....
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\Drivers\Wdfmgsknrtcq.sys','');
     DeleteService('Wdfmgsknrtcq');
     DeleteFile('C:\Windows\system32\Drivers\Wdfmgsknrtcq.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Запстил AVZ от имени администратора (как и в прошлый раз) , выполнил скрипт ,
    логи
    Карантин отправил.
    Мучает вопрос есть троян или руткит ?
    Последний раз редактировалось Оптим; 05.08.2008 в 21:53.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    запускали правой кнопкой мыши - запуск от имени ?

  6. #5
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Да запускал правой кнопкой от имени администратора.
    С помощью AVZ убрал автозапуск CD, DVD теперь любой диск не могу открыть вообще , видит как чистый, если только перезагрузиться не вынимая диск тогда можно открыть , как это исправить ?
    Еще проблема после выполнения скрипта система при выключении долго выгружается и при включении долго загружается.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Цитата Сообщение от Оптим Посмотреть сообщение
    С помощью AVZ убрал автозапуск CD, DVD теперь любой диск не могу открыть вообще , видит как чистый, если только перезагрузиться не вынимая диск тогда можно открыть , как это исправить ?
    причем автозапуск к отображению диска ? т.е вы за пускаете проводник два раза кликаете по букве CD и ничего не отображается ?
    Цитата Сообщение от Оптим Посмотреть сообщение
    Еще проблема после выполнения скрипта система при выключении долго выгружается и при включении долго загружается.
    не может быть , что из-за скрипта ...
    скачайте C:\WINDOWS\System32\Drivers\Wdfmgsknrtcq.sys - force delete
    затем выполните скрипт ... повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    До этого при вставке диска отображалось предложение с помощью чего можно открыть содержимое диска , сейчас ни чего не отображается - открываю проводник , кликаю 2 раза на обозначение привода и появляется вот такая картина :
    Вложение 65319.

    Скачал Spyware Doctor , проверил систему -обнаружено троян в реестре и шпион в папке ссылок избранное - нейтрализовал.

    Поясните запись :"C:\WINDOWS\System32\Drivers\Wdfmgsknrtcq.sys - force delete" , что это значит ?
    Последний раз редактировалось Оптим; 05.08.2008 в 21:53.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    троян в реестре - это дааааа ....
    Wdfmgsknrtcq.sys - нужно удалить ... так http://virusinfo.info/showthread.php?t=17228
    насчет диска ....
    пуск - панель управления - система - оборудование и звук - автозапуск - и установить нужное ...

  10. #9
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Не могу запустить IceSword.exe появляется сообщение :Вложение 65536 запускал от имени админа и в совместимости с ХР не помогает.

    Пытался вручную найти файл Wdfmgsknrtcq.sys отсутствует.

    По поводу диска: автозапуск включен :Вложение 65537, но это не помогает.
    Последний раз редактировалось Оптим; 05.08.2008 в 21:53.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    если не работает IceSword нужен загрузочный диск и удалять из по него ...
    насчет настроек вам нужно изменить настройки чистый сд , чистый двд ...

  12. #11
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Имеется в ввиду загрузочный диск с системой?
    В смысле изменить настройки чистый диск я ставлю диск с записью , может AVZ удалил файлы autorun.inf отвечающие за запуск сменных носителей , кстати с флешки автозапуск работает:Вложение 65545
    Последний раз редактировалось Оптим; 05.08.2008 в 21:53.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Цитата Сообщение от Оптим Посмотреть сообщение
    Имеется в ввиду загрузочный диск с системой?
    В смысле изменить настройки чистый диск я ставлю диск с записью , может AVZ удалил файлы autorun.inf отвечающие за запуск сменных носителей , кстати с флешки автозапуск работает:Вложение 65545
    никаких autorun.inf в системе нет и быть не может .... такие файлы бывают в различных дистрбутивах , для автозапуска .... и все ..

  14. #13
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Файл Wdfmgsknrtcq.sys в папке C:\WINDOWS\System32\Drivers отсутствует.
    Выполнил скрипт.
    Вот логи:
    Вложение 65560

    Вложение 65561

    Вложение 65562
    Последний раз редактировалось Оптим; 12.08.2008 в 21:45.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Цитата Сообщение от Оптим Посмотреть сообщение
    Файл Wdfmgsknrtcq.sys в папке C:\WINDOWS\System32\Drivers отсутствует.
    как искали ?

  16. #15
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Искал вручную в системе при включенном отображении скрытых папок и файлов ,пробовал вбивать в поиск и с загрузочного диска с помощью программы Acronis Disc Director открывал содержимое данной папки , просматривал ,такого файла нет.
    Вложение 65624
    Последний раз редактировалось Оптим; 12.08.2008 в 21:45.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Wdfmgsknrtcq');
     DeleteFile('C:\Windows\system32\Drivers\Wdfmgsknrtcq.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  18. #17
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Скрипт выполнил.
    Вот логи:

    Вложение 65654

    Вложение 65655

    Вложение 65656
    Последний раз редактировалось Оптим; 12.08.2008 в 21:45.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    чисто ...

  20. #19
    Junior Member Репутация
    Регистрация
    26.07.2008
    Адрес
    Россия , Алтайский край
    Сообщений
    37
    Вес репутации
    35
    Спасибо огромное за помощь.
    Скажите руткит всетаки был ?
    В протоколе AVZ написано о маскировке каких-то процессов, что это такое?
    AVZ также указал, что возможен анонимный доступ к ПК из вне ,как это исправить?

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    если у вас нет расшаренных ресурсов то анонимный доступ можно закрыть так
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(true);
    end.
    маскировка процессов - это особенности работы авз на виста ...

  • Уважаемый(ая) Оптим, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. WinXP SP3 Pro, подозрение на руткит и троян
      От Rampager в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.05.2011, 13:34
    2. Подозрение на руткит/троян
      От criz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.05.2010, 17:10
    3. Подозрение на троян и руткит
      От konovalsky в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:48
    4. Троян/руткит
      От airatsa в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:42
    5. Троян или руткит?
      От Kodji в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01660 seconds with 16 queries