Показано с 1 по 7 из 7.

Невыводящиеся руткиты и проблема с DNS (заявка № 30948)

  1. #1
    Junior Member Репутация
    Регистрация
    30.06.2008
    Адрес
    Россия, Хабаровск
    Сообщений
    9
    Вес репутации
    35

    Невыводящиеся руткиты и проблема с DNS

    Доброго времени суток.

    Система OS WinXP SP3
    АПО: Avira Premium Security Suite (Без фаервола)
    Firewall: Outpost Firewall Pro 2009.

    Выполнил все пункты по правилам - CureIt от 25.09.2008 ничего не нашел.

    Проблемы:

    1) Самопроизвольное проставление DNS адресов в сетевом подключении на ip :85.225.115.54 и 85.225.112.23. По результатам http://www.db.ripe.net/whois?form_ty...&submit=Search
    Ripe.net
    address: Box 47645
    address: 117 94 Stockholm
    address: Sweden
    Живу на Дальнем Востоке - с этих DNS серверов инфу получать не должен.
    На эти сервера постоянно открыт 53 порт. Количество подключений варьируется от 1 до 30-40.

    2) После КАЖДОЙ полной проверки AVZ восстанавливает функции 49 руткитов. После перезагрузки и повторного сканирования это происходит опять, а файлы прописанные как драйвера AVZ не удаляет.

    Вот собственно и все. Жду и Надеюсь на вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Делать со вставленной флешкой.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('J:\autorun.inf','');
     QuarantineFile('I:\autorun.inf','');
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\kdihj.exe','');
     QuarantineFile('C:\WINDOWS\system32\2A8.tmp','');
     DeleteFile('C:\WINDOWS\system32\2A8.tmp');
     DeleteFile('C:\WINDOWS\system32\kdihj.exe');
     DeleteFile('I:\autorun.inf');
     DeleteFile('H:\autorun.inf');
     DeleteFile('J:\autorun.inf');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.

    Сделать новые логи.

    Большинство ваших руткитов легальные.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    30.06.2008
    Адрес
    Россия, Хабаровск
    Сообщений
    9
    Вес репутации
    35

    Невыводящиеся руткиты и проблема с DNS

    Сделал.
    Букв много для дисков - не флеш, а винчестеры.
    После скана - 15 руткитов обнаружено.
    Самостоятельно удалил Sandbox.sys до того, как Вы отписались.
    Теперь Agnitum кричит при загрузке, что не может загрузить этот драйвер.
    Спасибо за мобильность. Жду.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Кто-то просил удалить его? это драйвер аутпост...

    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O4 - Startup: StartupFaster
    O4 - Global Startup: StartupFaster
    O17 - HKLM\System\CCS\Services\Tcpip\..\{91394B46-4FD9-4EE9-8213-83159601BA09}: NameServer = 85.255.115.54,85.255.112.23
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F5E0F156-AE85-46DC-8135-B1FE1A4E354D}: NameServer = 85.255.115.54,85.255.112.23
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('kdihj.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    30.06.2008
    Адрес
    Россия, Хабаровск
    Сообщений
    9
    Вес репутации
    35
    Проблема с DNS адресами решилась уже после 1 фикса от PavelA.
    За
    Sandbox.sys спасибо - верну.
    Выполнил все фиксы от Гриша.
    После последнего сбора информации никаких функций восстановлено не было.

    Логи Прикрепил, но я так понимаю, что это финиш. Жду ответа.

    Большое Спасибо за быструю помощь.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.09.2008 в 12:13.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Ничего подозрительного.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.nuu (DrWEB: Win32.HLLW.Autoruner.2805)
      2. c:\\windows\\system32\\kdihj.exe - Trojan.Win32.DNSChanger.jiv (DrWEB: Trojan.DnsChange.991)
      3. h:\\autorun.inf - Worm.Win32.AutoRun.spw (DrWEB: Win32.HLLW.Autoruner.2805)
      4. i:\\autorun.inf - Worm.Win32.AutoRun.rsg (DrWEB: Win32.HLLW.Autoruner.2805)
      5. j:\\autorun.inf - Worm.Win32.AutoRun.spw (DrWEB: Win32.HLLW.Autoruner.2805)
      6. \\quarantine_1\\2008-09-26\\bcqr00009.dta - Trojan.Win32.DNSChanger.jiv (DrWEB: Trojan.DnsChange.991)
      7. \\quarantine_1\\2008-09-26\\bcqr00010.dta - Trojan.Win32.DNSChanger.jiv (DrWEB: Trojan.DnsChange.991)


  • Уважаемый(ая) DuH.Khv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. руткиты!
      От acid_kid в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 24.07.2011, 19:22
    2. Руткиты
      От Redder в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.07.2010, 15:49
    3. Руткиты...
      От truexcolors в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 26.10.2009, 18:33
    4. Руткиты
      От SAZ в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 12.10.2009, 22:30
    5. HELP! Руткиты
      От Zram в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.12.2008, 02:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01652 seconds with 17 queries