Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

А вот такой репортик от Unhooker что бы значил? (заявка № 44634)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33

    Question А вот такой репортик от Unhooker что бы значил?

    RkUnhooker report generator v0.6
    ==============================================
    Rootkit Unhooker kernel version: 3.31.150.420
    ==============================================
    Windows Major Version: 5
    Windows Minor Version: 1
    Windows Build Number: 2600
    ==============================================
    NtOpenProcess
    Actual Address 0x8866EA60
    Hooked by: Unknown module filename

    NtOpenThread
    Actual Address 0x8866EE80
    Hooked by: Unknown module filename

    NtSuspendProcess
    Actual Address 0x8866F460
    Hooked by: Unknown module filename

    NtSuspendThread
    Actual Address 0x8866F280
    Hooked by: Unknown module filename

    NtTerminateProcess
    Actual Address 0x8866EC90
    Hooked by: Unknown module filename

    NtTerminateThread
    Actual Address 0x8866F0B0
    Hooked by: Unknown module filename

    Во вложении - парочка репортов и пара странных файлов в архиве.

    Анхукером ничего из репортов не убивается (вернее, убивается и загружается снова). Жить вроде бы не мешает, но время от времени верещит нод, удаляет со всех дисков какой-то вирус (во вложении hxtaqc.rar, вытащен из карантина) и появляется (опять же на всех ЛД) пустой файл без расширения - kht. Если его удалить - эпопея продолжается, если оставить нод не верещит, ничего не появляется.
    Вот и не пойму, что с этим делать.
    Последний раз редактировалось Rene-gad; 27.04.2009 в 13:28. Причина: удалены ненужные прикрепленые файлы

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Для начала нужно выполнить вот эти правила: Правила. =)

    PS. Потом может дойдет дело и до RkU, однако пока еще рано говорить о чем-то конкретном!
    PPS. В присланном вами архиве находится червь W32.Harakit по классификации Symantec'а.
    Последний раз редактировалось aintrust; 27.04.2009 в 13:00.

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    ок, а sys файлы не смотрели? =)
    На самом деле уже и до Hypersight Rootkit Detector дошло.

    Кстати нод пишет, что это не Харакит а Win32/Packed.Autoit.Gen
    Последний раз редактировалось mikko; 27.04.2009 в 18:12.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Смотрели... =)

    PS. Будьте проще - я думаю, дело вовсе не в руткитах. Выполните правила - хелперы посмотрят ваши файлы, потом будет более-менее ясно, где и что искать.

  6. #5
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Вот
    Будем проще.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Хочу добавить, что автораны высвеченные в отчете - пустые. После нашествия Kido. Я их сам отредактировал (ибо вылечить не мог) и выставил свойства "только чтение".

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{582DDAEC-6488-4A24-87B1-2EE2BBA47BE6}: NameServer = 85.255.112.167,85.255.112.72
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.167,85.255.112.72
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.167,85.255.112.72
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.167,85.255.112.72
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('F:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Вот.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Больше ничего подозрительного не видно. Жалобы есть?

  11. #10
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Цитата Сообщение от Rene-gad Посмотреть сообщение

    Больше ничего подозрительного не видно. Жалобы есть?
    Дак собственно нафик мне suspicious процессы в памяти и систематическое появление екзешников Win32/Packed.Autoit.Gen (по версии нод32)?

    Причем я переставил ОС не так давно (недели 3 назад). На отформатированный винт, первое что было поставлено после ОС - антивирус и обновлены базы. На других 2-х винтах, были прописанные мной, пустые автораны (рид-онли). Но проблема сама собой возобновилась. Вопрос ОТКУДА?

    Добавлено через 9 часов 3 минуты

    Господа, каков в итоге ваш вердикт?
    Последний раз редактировалось mikko; 28.04.2009 в 20:06. Причина: Добавлено

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от mikko Посмотреть сообщение
    Дак собственно нафик мне suspicious процессы в памяти и систематическое появление екзешников Win32/Packed.Autoit.Gen (по версии нод32)?

    Причем я переставил ОС не так давно (недели 3 назад). На отформатированный винт, первое что было поставлено после ОС - антивирус и обновлены базы. На других 2-х винтах, были прописанные мной, пустые автораны (рид-онли). Но проблема сама собой возобновилась. Вопрос ОТКУДА?

    Добавлено через 9 часов 3 минуты

    Господа, каков в итоге ваш вердикт?
    Ну, откуда NOD берет эти EXE - загадка ... если ПК входит в ЛВС, то можно предположить, что это результаты атаки четевого червяка. Следует проставить все заплатки безопасности, пароли на все учетные записи символов по 6-10, отключить удаленный реестр и админшары, выключить автозапуск. И когда появится очередной такой EXE, восстановить его из карантина NOD, сам нод выключить, файл восстановленный заархивировать и прислать по правилам. Будет семпл - можно предметно сказать, что это за зверь и как с ним воевать

  13. #12
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Ну, откуда NOD берет эти EXE - загадка ... если ПК входит в ЛВС, то можно предположить, что это результаты атаки четевого червяка. Следует проставить все заплатки безопасности, пароли на все учетные записи символов по 6-10, отключить удаленный реестр и админшары, выключить автозапуск. И когда появится очередной такой EXE, восстановить его из карантина NOD, сам нод выключить, файл восстановленный заархивировать и прислать по правилам. Будет семпл - можно предметно сказать, что это за зверь и как с ним воевать
    Олег, спасибо!
    Это ЛВС, все заплатки я скачал при установке Windows, а в карантине уже целый паноптикум. Один из EXE (в первом посте) - как раз из карантина. Могу добить и второй карантинный екзешник с другим именем.

    Другой вопрос, как объяснить тот лог от rku?

  14. #13
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Уважаемые, не пропадайте! Давайте замочим таки невидану зверюшку.

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    А что вас смущает, перехваты NtOpenProcess ... NtTerminateThread "неизвестным" модулем ядра? Они у вас как были в самом начале, так и остались до сих пор. Очень похоже на перехваты драйвера IceSword, но вполне возможно, что это может быть Hypersight Rootkit Detector или что-то подобное...
    Последний раз редактировалось aintrust; 30.04.2009 в 08:30.

  16. #15
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Ну вот что говорит hypersight:
    Вложения Вложения

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Ну, сам факт попыток модификации CR0 еще не является криминалом, хотя и может являться косвенным признаком наличия чего-то нелигитимного в системе. Тем не менее, одного лога Hypersight'а совершенно недостаточно - у вас в системе много всякого софта, который может провоцировать поведение такого рода. Для начала деинсталлируйте весь "лишний" защитный софт типа IceSword, затем сделайте лог GMER'а - посмотрим, что будет там.

  18. #17
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Вот?

    Сделал лог как надо.
    Вложения Вложения
    • Тип файла: log GMER.log (53.9 Кб, 4 просмотров)
    Последний раз редактировалось mikko; 30.04.2009 в 14:13.

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Ага, только Gmer у вас старенький и надо было сделать полный Scan.

    Давайте сделаем так:
    1) отключитесь от сети/Интернет;
    2) удалите весь защитный или похожий на него софт (nod32 в том числе), который вы когда-либо ставили - мне хочется видеть более-менее чистую систему;
    3) сделайте лог AVZ (мне достаточно только syscheck);
    4) установите RkU и сделайте в нем полный отчет (вкладка Report -> Scan). Если сканирование файлов занимает очень много времени, можно исключить из отчета позицию Files. Также я хотел бы получить дампы всех "подозрительных" областей памяти (тех областей, на которые есть ссылки в перехватах, но нет имен файлов). Неплохо бы также сделать Quick Report'ы тех закладок, в которых вы найдете перехваты;
    5) удалите RkU, запустите последний Gmer (gmer.zip) и сделайте в нем отчет;
    6) пришлите все полученные файлы.
    Последний раз редактировалось aintrust; 30.04.2009 в 14:51.

  20. #19
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    16
    Вес репутации
    33
    Вот.

    Дампов памяти не сделал. Я, к сожалению, не совсем понимаю какие диапазоны выставлять в rku чтоб скопировать нужные области
    Вложения Вложения

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    А что же nod32 не деинсталлировали?
    Драйвер IceSword живет в системе, его надо удалить через реестр или AVZ.
    То же касается драйвера Hypersight.
    И где дампы?

  • Уважаемый(ая) mikko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Rootkit Unhooker
      От HATTIFNATTOR в разделе Антируткиты
      Ответов: 117
      Последнее сообщение: 23.09.2011, 21:01
    2. Rootkit Unhooker
      От Naughty в разделе Beta Testing
      Ответов: 0
      Последнее сообщение: 21.09.2009, 22:36
    3. Ответов: 2
      Последнее сообщение: 31.05.2007, 07:08
    4. strange behaviour of rootkit unhooker
      От parufka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.02.2007, 00:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01437 seconds with 17 queries