Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

руткит (заявка № 72534)

  1. #1
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54

    Question руткит

    здравствуйте, помогите поймать руткита на этой машине стоит касперский антивирус 2010 но руткит тут поселился раньше чем он в сети все машины ругаются на него и пишут Intrusion.Win.NETAPI.buffer-overflow.exploit
    Последний раз редактировалось White--007; 12.04.2010 в 12:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Отключите восстановление системы

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('E:\autorun.inf','');
     QuarantineFile('E:\strongkey-rc1.3-build-208.exe','');
     QuarantineFile('C:\Documents and Settings\User\РРРРРРРРРРРРРРРРРРРРРР.avi','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     TerminateProcessByName('c:\windows\system\dllcache.exe');
     QuarantineFile('c:\windows\system\dllcache.exe','');
     DeleteFile('c:\windows\system\dllcache.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
     DeleteFile('C:\Documents and Settings\User\РРРРРРРРРРРРРРРРРРРРРР.avi');
     DeleteFile('E:\strongkey-rc1.3-build-208.exe');
     DeleteFile('E:\autorun.inf');
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    скрипт выполнил карантин послал вот новые логи
    Последний раз редактировалось White--007; 12.04.2010 в 12:18.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    отключите восстановление системы повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54

    Thumbs down

    не могу отключить восстановление не запускается exe файл не работает редактор реестра ворд и ещё пара программ
    Последний раз редактировалось White--007; 12.04.2010 в 12:18.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Через Мастер поиска и устранения проблем в AVZ пройдитесь.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    чисто там говорит что нет проблемм!!!(((

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных -- Надо с Лайва проверяться. Есть подозрение на файловый вирус.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    с лайва проверялся (Kasperski ResDisk) он там кучу понаходил а толку нет да и ещё комп теперь ваще не грузиться(((((( печально. пишет ошибку и дальше приветствия с выбором пользователей не идёт

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Надо проверяться до тех пор пока Kasperski ResDisk не начнет ничего не находить.
    Далее чинить реестр тоже с Лайва.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    всё вроде заличил поставил KIS2010 всех погрохал с Kasperski ResDisk потом коекак завёл винду сегодня вроде всё спокойно нашёл каких то 2 трояна в темпах, KIS2010 их тутже грохнул такчто в логах C:\WINDOWS\system32\9.tmp и C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\H1D76Y26\est[1].exe можете не писать. кстати "!!! Внимание !!! Восстановлено 63 функций KiST в ходе работы антируткита" Это чё?
    Последний раз редактировалось White--007; 12.04.2010 в 12:18.

  13. #12
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    Цитата Сообщение от PavelA Посмотреть сообщение
    Далее чинить реестр тоже с Лайва.
    реестр был впорядке был изменён файл userinit.exe на userini.exe

    Добавлено через 24 минуты

    и ещё ни как не могу избавиться от ошибки связанной с Microsoft .Net framework при открытии программы пишет Ошибка при инициализации приложения (0хс000007В) Net framework переустановил на новый не помогло
    Последний раз редактировалось White--007; 05.03.2010 в 09:10. Причина: Добавлено

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\fonts\services.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','userini');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Висит в процессах куча, связанная с Дотнетом.
    Логи повторите после перезагрузки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    всё сделал неделя прошла всё спокойно вот только ошибка с Microsoft .Net framework осталась может поможете если нет и в логах чисто то можно закрывать тему да и ответьте на вопрос пожалуйста что такое !!! Внимание !!! Восстановлено 63 функций KiST в ходе работы антируткита
    Последний раз редактировалось White--007; 12.04.2010 в 12:18.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      DeleteFile('C:\WINDOWS\fonts\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  17. #16
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    вот новые логи
    Последний раз редактировалось White--007; 12.04.2010 в 12:18.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    лог hijackthis сделайте

  19. #18
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    вот лог
    Последний раз редактировалось White--007; 12.04.2010 в 12:18.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пуск выполнить sc delete FCI
    повторите логи ...

  21. #20
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    94
    Вес репутации
    54
    вот новые логи всё выполнил у меня не работает одна программа по здаче налоговой отчётности мы не могли сбить её настройки она работает через браузер и не запускается ещё одна программа из той же серии только тут exe говорит ошибка при инициализации приложения (0xc000007b) переустановка не помогла
    Последний раз редактировалось White--007; 12.04.2010 в 12:18.

  • Уважаемый(ая) White--007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    2. Руткит
      От DZon в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.12.2009, 09:41
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Руткит
      От Lemmit в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 17.10.2008, 09:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01397 seconds with 19 queries