Показано с 1 по 4 из 4.

Подозрения на руткит (заявка № 54005)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2009
    Адрес
    Moscow
    Сообщений
    2
    Вес репутации
    31

    Exclamation Подозрения на руткит

    Как всё было:

    - Пропал доступ в интернет. (собственно обратил внимание на сообщение avira об ошибке обновления)
    - Перезагрузился на всякий случай.
    - После перезагрузки антивирус (avira) обнаружил несколько троянов. (могу присоединить лог авиры, но история развивалась дня 3. Лог длинный)
    - После следующей перезагрузки обнаруживаются новые трояны.

    - Воспользовался функцией ревизора в avz (правда снимок старый изменений много) нашел еще 3 подозрительных *.exe файла. (два из них помещены в карантин avz (meta4.exe, mota113.exe), один не удалось. Удалось просто заархивировать)(msizap.exe)
    - Запретил доступ к ним на выполнение в файловой системе ntfs - детектирование троянов авирой после перезагрузки прекратилось.

    Но avz обнаруживает скрытые процессы (подмена PID и неизвестное имя) и перехват вызовов доступа к файловой системе и реестру (даже в safe mode и с остановленным антивирусом).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах ничего подозрительного ...

  4. #3
    Junior Member Репутация
    Регистрация
    04.09.2009
    Адрес
    Moscow
    Сообщений
    2
    Вес репутации
    31
    А вот это разве нормально?

    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
    SDT = 808A6380
    KiST = 808341B0 (296)
    Функция NtCreateKey (2B) перехвачена (808B99EC->F7A9A53E), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    <... тут был перехват всех обращений к реестру>

    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=428, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 42

    <... далее много процессов>

    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8A3381F8 -> перехватчик не определен

    <... перехват всех операций с файлами >
    Раньше вроде я такого не замечал...

    Антивирус, даже когда запущен, четко определялся как перехватчик.

    Неужели это меня так глючит?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    это нормально для авз на серверной оси ...

  • Уважаемый(ая) mmv-ru, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрения на руткит
      От ThePlace в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.10.2011, 16:34
    2. Подозрения на руткит
      От Dragonlord в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.02.2011, 23:47
    3. Подозрения на руткит
      От w0mbat в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.09.2010, 00:47
    4. Подозрения на руткит
      От marker в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.03.2010, 16:20
    5. Подозрения svchost.exe на руткит
      От Infraradiant в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 04:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00034 seconds with 17 queries