Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Руткит или нет?!... (заявка № 52887)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54

    Thumbs up Руткит или нет?!...

    Грузится из "%systemroot%\system32\drivers\*.sys" При каждой загрузке меняется имя.Виден только AVG Anti-Rootkit Free и в утилите autoruns(снимается с автозагрузки,не удаляется).AVG Anti-Rootkit Free удаляет его но при перезагрузке он снова появляется...
    Данные из Autoruns (auxry09oIDE/ATAPI Port Driver Microsoft Corporation c:\windows\system32\drivers\auxry09o.sys)
    При попытке отправить файл через форму на сайте http://z-oleg.com/secur/avz/uploadvir.php возникает ошибка "ФАЙЛ НУЛЕВОГО РАЗМЕРА"
    В общем нужна помощь по выявлению и выдворению...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Восстановление системы: включено -- надо отключить.

    В момент сбора логов Куреит не был запущен?
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\connector.cmd','');
     QuarantineFile('C:\WINDOWS\Temp\SIVIK.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    прислать по правилам карантин.
    Последний раз редактировалось PavelA; 25.08.2009 в 13:12.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    насчет куреита - нет не был.
    насчет connector.cmd это лично мной написанный батник для подключения сет.дисков, копирует архивы баз данных с сервера и добавляет запись в хост файл.
    так что за его содержание могу ручаться.
    Последний раз редактировалось Rene-gad; 25.08.2009 в 14:44.

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Ссори совсем забыл прикрепить карантин...
    Последний раз редактировалось Rene-gad; 25.08.2009 в 14:43. Причина: quarantine removed

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    прислать по правилам карантин.

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Отослал по правилам с шапки...
    Больше данная страница недоступна, дошел ли файл карантина?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от peps Посмотреть сообщение
    Больше данная страница недоступна
    А она Вам больше не интересна - Вы же сообщение поличили: Файл загружен, спасибо?
    C:\WINDOWS\system32\connector.cmd - чистый , как Вы и говорили
    C:\WINDOWS\Temp\SIVIK.exe - в карантин не попал, попробуйте поискать и прислать

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Дело в том что в темпе был судя по логам
    А в connector.cmd задано очищать темп
    Чуть позже отправлю новые логи по сканированию...

    вот новые логи сканирования
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 25.08.2009 в 20:43.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    А кто логи запрашивал?
    Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    C:\WINDOWS\Temp\SIVIK.exe - в карантин не попал, попробуйте поискать и прислать
    - Сделайте лог GMER.

  11. #10
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Понял больше не буду торопиться
    Вот лог gmer
    То что меня интересует в этом логе с именем aczikalg.SYS
    Вложения Вложения
    • Тип файла: log gmer.log (71.8 Кб, 5 просмотров)

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от peps Посмотреть сообщение
    То что меня интересует в этом логе с именем aczikalg.SYS
    это скорее всего драйвер от анхукера или что-то в этом роде.
    Пришлите файл по правилам (хотя я думаю, что Вы его уже не найдете )
    - Сделайте лог MBAM.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Цитата Сообщение от peps Посмотреть сообщение
    То что меня интересует в этом логе с именем aczikalg.SYS
    Гмером через вкладку файл закарантиньте его из папки
    Код:
    Windows\System32\Drivers\
    и пришлите его по правилам.

  14. #13
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Гмером через вкладку файл закарантиньте его из папки
    Код:
    Windows\System32\Drivers\
    и пришлите его по правилам.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    это скорее всего драйвер от анхукера или что-то в этом роде.
    Пришлите файл по правилам (хотя я думаю, что Вы его уже не найдете )
    - Сделайте лог MBAM.
    2 Alex_Goodwin я уже пытался до этого, не могу сделать так как не вижу его ...
    2 Rene-gad какой именно лог не понял по этому пришлю 2 - малваре давно стоит и ничего не находит
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от peps Посмотреть сообщение
    2 Rene-gad какой именно лог не понял
    3 minute(s), 21 second(s) - нужно полное сканировние провести, а не быстрое

  16. #15
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Сделал, посмотрите
    Вложения Вложения

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Самое правильное вот это:
    D:\Downloads\Программы\RecoverMyFiles-Setup.exe (Rogue.Antivirus) -> Quarantined and deleted successfully.

    Остальные могут оказаться фалсами, пакерами и прочей шелухой.

    Более ничего не увидел интересного.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Это, так сказать бывшая файловая свалка локалки, там много чего может быть
    Прогу не ставил и не собирался...

  19. #18
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    Дорогие хелперы вы хотите сказать, что этот файл не опасен ?
    Просто тема перенеса в излечено, хотя воз и ныне там,
    При каждой загрузке файл меняет имя и грузится

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Можно сделать так.
    AVZ - Сервис - Модули пространства ядра - найти этот модуль и снять с него дамп.
    Дамп прислать сюда для анализа.

    З.Ы. я склоняюсь что это от Алкоголя. Попробовать его деинсталлировать и посмотреть на поведение системы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    31
    Вес репутации
    54
    В данный момент у файла название azskge59.sys посмотрите, пожалуйста, его дамп...
    чуть позже удалю alcohol и гляну пропал или нет просто в данный момент без него не могу.
    Вложения Вложения

  • Уважаемый(ая) peps, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. Руткит
      От DZon в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.12.2009, 09:41
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Руткит
      От Lemmit в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 17.10.2008, 09:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01317 seconds with 20 queries