Показано с 1 по 13 из 13.

Подозрение на руткит. Подскажите, что делать (заявка № 61317)

  1. #1
    Junior Member Репутация
    Регистрация
    25.11.2009
    Сообщений
    7
    Вес репутации
    30

    Thumbs up Подозрение на руткит. Подскажите, что делать

    На работе не поборол BackDoor.Tdss.565. Снес винду и поставил заново. Там же пользовался флешкой. Принес флешку домой и поздно спохватился-дома хватанул вирусняка, наверное. В этот же момент переставлял firewall-сменил outpost 2009 на ESET. ESET стал ругаться , что svchost.exe лезет в инет па такому то ip адресу. скачал dr. web cure it-проверил-система чистая. (На компе стоят winxp sp3 (lic) и win7 (сборка 7600)-проверял зараженную как мне кажется win XP из под семерки. Проверка ESETом так же не дала результатов. НО! svchost.exe лезет же в инет!
    как быть? подскажите

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Сделайте логи по правилам http://virusinfo.info/pravila.html

  4. #3
    Junior Member Репутация
    Регистрация
    25.11.2009
    Сообщений
    7
    Вес репутации
    30
    Цитата Сообщение от миднайт Посмотреть сообщение
    Сделайте логи по правилам http://virusinfo.info/pravila.html
    извините, что сразу не сделал так как надо.
    OS:winxp sp3, лицензия, все обновления. в папке TMP иногда появляется dll с неудобноваримым названием. переименовать себя дает, удалить-нет.
    надеюсь на вашу помощь

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Такой лог сделайте Gmer

  6. #5
    Junior Member Репутация
    Регистрация
    25.11.2009
    Сообщений
    7
    Вес репутации
    30
    gmerlog

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Есть одно нехорошее подозрение.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В AVZ выполните скрипт:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('%WinDir%\*.tmp','');
     QuarantineFile('%WinDir%\ibm*.dll','');
     QuarantineFile('%WinDir%\ibm*.exe','');
     BC_ImportAll;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

    Скачайте утилиту TDSSKiller http://www.secureblog.info/files/TDSSKiller.rar
    Сохраните текст ниже как run.bat в туже папку где находится TDSSKiller.exe (переименуйте файл именно в это имя)

    Код:
    TDSSKiller.exe -l C:\log.txt -v
    Все сканы делайте с правами администратора. Запустите run.bat
    Как отработает, сформируется лог-файл log.txt в корне диска C.
    Прикрепите его к сообщению.
    Повторите лог Gmer.

  8. #7
    Junior Member Репутация
    Регистрация
    25.11.2009
    Сообщений
    7
    Вес репутации
    30
    Цитата Сообщение от миднайт Посмотреть сообщение
    Есть одно нехорошее подозрение.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    ...

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    сделал.
    Файл сохранён как 091128_204411_quarantine_4b11616b8649e.zip
    Размер файла 426099
    MD5 14238531f93127b03b682212faaa0d6f

    могу включить восстановление системы?

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Загрузитесь с LiveCD.
    Файлы C:\WINDOWS\system32\Drivers\Disk.sys
    C:\WINDOWS\system32\Drivers\atapi.sys скопируйте в отдельную папку, затем замените на чистые из вашего дистрибутива. Из этой новой папки при загрузке в нормальном режиме добавьте файлы Disk.sys и atapi.sys в карантин по правилам и загрузите по красной ссылке вверху темы.

    Еще раз просканируйтесь киллером http://support.kaspersky.ru/viruses/...?qid=208636926

    Скачайте и запустите из отдельной папки утилиту http://www2.gmer.net/mbr/mbr.exe
    Файл отчета mbr.log прикрепите к сообщению. + повторите лог gmer.

  10. #9
    Junior Member Репутация
    Регистрация
    25.11.2009
    Сообщений
    7
    Вес репутации
    30
    Цитата Сообщение от миднайт Посмотреть сообщение
    Загрузитесь с LiveCD.
    ...
    сделал.
    в карантин файлы с помощью AVZ не помещаются, хотя в логах пишется что скопированы, поэтому сделал, как описано в пункте 7 как описано в пункте 7

  11. #10
    Junior Member Репутация
    Регистрация
    25.11.2009
    Сообщений
    7
    Вес репутации
    30
    Цитата Сообщение от миднайт Посмотреть сообщение
    Загрузитесь с LiveCD.
    Файлы C:\WINDOWS\system32\Drivers\Disk.sys
    C:\WINDOWS\system32\Drivers\atapi.sys скопируйте в отдельную папку, затем замените на чистые из вашего дистрибутива. Из этой новой папки при загрузке в нормальном режиме добавьте файлы Disk.sys и atapi.sys в карантин по правилам и загрузите по красной ссылке вверху темы.
    Файл сохранён как 091129_121728_quarantine_4b123c28708b6.zip
    Размер файла 75935
    MD5 890ff80594c477f0e76fd35e012aa860

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    в логах чисто.

  13. #12
    Junior Member Репутация
    Регистрация
    25.11.2009
    Сообщений
    7
    Вес репутации
    30
    Цитата Сообщение от snifer67 Посмотреть сообщение
    в логах чисто.
    я убрал правила Firewall, запрещающие лезть процессу в инет-пока тихо.
    может, какое либо из вышеперечисленных действий помогло?
    в любом случае спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) BlackDragonV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подскажите что делать??
      От Владимир Кара в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.01.2012, 01:33
    2. Подскажите что делать
      От yuramic в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.03.2009, 10:56
    3. Ответов: 1
      Последнее сообщение: 23.08.2008, 17:15
    4. Подскажите, что делать
      От qwerpoiu в разделе Спам и мошенничество в сети
      Ответов: 1
      Последнее сообщение: 25.11.2007, 20:43
    5. Подскажите что делать ! =(
      От ABT1k в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.05.2007, 06:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00587 seconds with 16 queries