Показано с 1 по 11 из 11.

Крутой руткит (заявка № 42306)

  1. #1
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    7
    Вес репутации
    33

    Exclamation Крутой руткит

    Где-то подхватил руткит, долго боролся с ним, но безрезультатно... не знаю что делать...
    Avira Antivir в режиме поиска руткитов ругается на HEUR/Modified.Systemfile, на вот эти файлы:
    advapi32.dll; alg.exe; csrss.exe; ctfmon.exe; kbdclass.sys; lsass.exe; ntdll.dll; services.exe; smss.exe; spoolsv.exe; svchost.exe; winlogon.exe; ws2_32.dll; wsock32.dll.
    Загрузился с LiveCD, обнаружил, что у меня в реестре в разделе "Services" появилась служба gaopdxserv.sys, ссылается на файл "gaopdxmqxtimrnkspyfvmcwmpxvbwerxbfpmkb.sys", причём они (запись в реестре и файл) видны только через LiveCD, а в заражённой системе они не давали себя обнаружить. Грохнул и службу (в реестре) и файл с помощью LiveCD.
    Но этого оказалось мало, на вышеуказанные системные файлы он всё равно ругается. CureIT ничего не находит, AVZ тоже. Кроме того, AVZ почему-то не может скопировать эти файлы в карантин.
    Попробовал заменить эти файлы "здоровыми" (не заражёнными) файлами со второй ОС - не помогло, он кроме них сидит где-то в другом месте, и даже если я их заменяю здоровыми - заражает снова. Один раз была попытка прописать троянский DNS, я его убрал. Перехвата функций руткитом после удаления файла с длинным именем не замечено. Ещё бывает, когда я набираю текст на клавиатуре, вдруг выплывает текст "test", причём многократно повторяется... На жёстком диске никаких autorun.inf у меня нет, да и если бы были - всё равно автозапуск отключен. Помогите пожалуйста. Если надо, могу приложить зараженные файлы.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Слово: test это от AVZ. AVZPM надо установить и после перезагрузки сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    7
    Вес репутации
    33
    AVZPM установил.
    Логи AVZ во вложении.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    У Вас сборка Винды не родная, поэтому Avira может ругаться на системные файлы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    7
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    У Вас сборка Винды не родная, поэтому Avira может ругаться на системные файлы.
    На другом разделе такая же сборка, такой же Antivir с такими же настройками. И не ругается. Со второго раздела я скопировал не заражённые файлы в отдельную папку, программа для сравнения файлов пишет, что файлы в этой папке не отличаются от тех, которые в заражённой системе.

    Может ли что-то модифицировать эти файлы в памяти, а не на диске?

    По адресу Services\Tcpip\Parameters в параметре Nameserver руткит снова попытался прописать вот эти IP:
    85.255.112.71
    85.255.112.105

    Ещё в реестре обнаружил кой-чего, см. приложенный файл.
    Вложения Вложения
    Последний раз редактировалось Leo7; 23.03.2009 в 18:13.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    выложите лог Gmer

  8. #7
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    7
    Вес репутации
    33

    Лог Gmer

    Лог во вложении.
    Вложения Вложения
    • Тип файла: log gmer.log (38.8 Кб, 11 просмотров)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    ничего подозрительно. видны эмуляторы (даемон, алкоголь).
    Загрузился с LiveCD, обнаружил, что у меня в реестре в разделе "Services" появилась служба gaopdxserv.sys, ссылается на файл "gaopdxmqxtimrnkspyfvmcwmpxvbwerxbfpmkb.sys", причём они (запись в реестре и файл) видны только через LiveCD, а в заражённой системе они не давали себя обнаружить. Грохнул и службу (в реестре) и файл с помощью LiveCD.
    там еще dll должна быть с теми же именами.
    Видимо сам руткит вы убили.
    попробуйте sfc /scannow

  10. #9
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    7
    Вес репутации
    33
    Alex_Goodwin
    Видимо сам руткит вы убили.
    Но содержимое ветки реестра, приведённое в файле viruskey.txt, восстанавливается. И троянский DNS - тоже прописывается заново.

    [Ошибочка, dwshield.log - это от DrWeb'a, подозрения не подтвердились.]
    Последний раз редактировалось Leo7; 23.03.2009 в 19:43.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Сейчас с ДНС есть проблемы?

  12. #11
    Junior Member Репутация
    Регистрация
    23.03.2009
    Сообщений
    7
    Вес репутации
    33

    Проблема решена.

    Почитал про руткит, который сидит в MBR:
    http://www.interface.ru/home.asp?artId=8703
    http://www2.gmer.net/mbr/
    Вышел в консоль восстановления, грохнул руткит FIXMBR'ом (который меня предупредил о том, что у меня недопустимая или нестандартная загр. запись) вот и всё. Avira теперь пишет, что всё в порядке, руткитов, вирусов и модифицированных файлов нет. Остальные тоже молчат.
    Последний раз редактировалось Leo7; 25.03.2009 в 16:32.

  • Уважаемый(ая) Leo7, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. руткит
      От White--007 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.07.2010, 10:19
    3. Крутой вирус
      От Виктор71 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 05:46
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00337 seconds with 17 queries