Показано с 1 по 13 из 13.

Руткит (заявка № 35559)

  1. #1
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    11
    Вес репутации
    35

    Question Руткит

    Здравствуйте! При сканировании Аваст сообщил о наличии руткитов в системных файлах. Предложил "удалить немедленно" и провести полное сканирование перед загрузкой Windows. После загрузки Windows снова обнаруживается все тот же "пакет" руткитов и повторяется сказка про белого бычка. При сканировании Curelt в безопасном режиме вирусов не обнаружено. При сканировании в AVZ запуск драйвера расширенного мониторинга прерывается сообщением сканера Аваст, что в драйверах обнаружен руткит. Происходит ошибка загрузки драйвера (С0000034), после чего проверка продолжается и AVZ никаких вредоносных программ не находит.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('psyche', 4);
     QuarantineFile('E:\Program files\AGAVA AntiSpy\ah.exe','');
     QuarantineFile('C:\WINDOWS\System32\psyche.exe','');
     DeleteFile('msansspc.dll');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
     DeleteService('psyche');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил


    Включите AVZPM и повторите логи.
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    11
    Вес репутации
    35
    Прилагаю логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('psyche');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Проблема решена?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    11
    Вес репутации
    35
    Нет... Не решена... Снова при запуске AVZ сканер Аваст сообщает о наличии Win32Rootkit по адресу C:/Windows/system32/Drivers/utm3otm5.sys, а при сканировании Аваст опять выдает список из 15 зараженных "скрытм руткитом" файлах
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от sadbadger Посмотреть сообщение
    при запуске AVZ сканер Аваст сообщает о наличии Win32Rootkit по адресу C:/Windows/system32/Drivers/utm3otm5.sys
    А разве не написано в правилах, что надо отключать антивирус при запуске AVZ?? utm3otm5.sys - это драйвер от AVZ.
    Аваст опять выдает список из 15 зараженных "скрытм руткитом" файлах
    Весь список огласите, пожалуйста.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    11
    Вес репутации
    35
    Сорри, соррри. Забыла отключить. Новые логи с отключенным антивирусником прилагаю.
    Списочек большой...Оглашаю:
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\VCL35.BPL" file.
    Sign of "Rootkit: hidden file" has been found in C:\WINDOWS\system.ini\BORLNDMM.DLL" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\CP3240MT.DLL" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\BCBSMP35.BPL" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\VCLX35.BPL" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\COMCTL32.DLL" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\HPortal2.dll" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\LHPorta2.dll" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\HVideoS2.exe" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\HVidSp2.dll" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\PCSmart2.dll" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\InstVid.exe" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\LQCT32_2.dll" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\qctw32_2.ds" file.
    Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\LogiVid\msvcp71.dll" file.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    11
    Вес репутации
    35
    Молчанье, был ему ответ....
    Лю-юди! Все так плохо? Пора винды сносить?

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Сделайте полную проверку AVPTool и сделайте новые логи...

  11. #10
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    11
    Вес репутации
    35
    AVPTool нашел и обезвредил 2 трояна в системных файлах. После этого драйвер AVZ стал загружаться беспрепятственно. Однако Аваст по-прежнему сообщает о 15 зараженных файлах...
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Признаков активного заражения в логах не видно.

    Список странный весьма. system.ini и twain_32.dll - это что, папки такие?
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    22.09.2008
    Сообщений
    11
    Вес репутации
    35
    System.ini обнаружила в виндовой папке под названием "pss". В ней всего 3 файла -boot.ini.buckup, system.ini.buckup, win.ini.buckup, и все весят 1 байт...(Может грохнуть ее не глядя?! )
    Twain_32 - это папка, внутри которой папки с "деталями" от принтера, вебкамеры и пр.
    Ничего более путного сказать вам больше не могу.... Чайник я.

    Добавлено через 2 часа 1 минуту

    О, сорри. Нашла Twain_32.dll Это, ес-но, не папка, а виндовский файл...
    Последний раз редактировалось sadbadger; 13.12.2008 в 15:43. Причина: Добавлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) sadbadger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. Руткит
      От DZon в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.12.2009, 09:41
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Руткит
      От Lemmit в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 17.10.2008, 08:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00560 seconds with 17 queries