-
Junior Member
- Вес репутации
- 52
Подозрение на rootkit и сбои файлов
Доброго времени суток
1.проверял CureIt Avp tools в безопасном режиме
cureit не хочет проверять папку windows/system32/drivers/
виснет на 2минуты и все и иногда ругается что файлы повреждены в других папках
virus removal tool проверяет и говорит что все в порядке
2.зделал все по инстр. и авз нашел подозрительные имена СH
пишет высокая опасность
имеются сбои руткита
3.проверял sophos anit rootkit. malwarebytes anti malware
ничего не находят
а вот авз нашел
мб я неправильно все изложил выше,прилагаю все логи
Последний раз редактировалось V_Bond; 02.04.2010 в 22:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3.tmp','');
DeleteService('MEMSWEEP2');
QuarantineFile('C:\WINDOWS\system32\4.tmp','');
DeleteFile('C:\WINDOWS\system32\4.tmp');
DeleteFile('C:\WINDOWS\system32\3.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
V_Bond
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3.tmp','');
DeleteService('MEMSWEEP2');
QuarantineFile('C:\WINDOWS\system32\4.tmp','');
DeleteFile('C:\WINDOWS\system32\4.tmp');
DeleteFile('C:\WINDOWS\system32\3.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
скрипт не заканчивает до конца проверку а обырвается
ошибки все те же
ошибка в работе антируткита Failed to set data for "Display name
карантин послал
-
Junior Member
- Вес репутации
- 52
Добрый день
зделал логи в режиме сафмоде т.к выдавало *ошибка в работе антируткита*
еще ошибка не загружен драйвер
вообщем логи прилагаю посмотрите пжл
Последний раз редактировалось bananje; 04.04.2010 в 12:28.
-
Junior Member
- Вес репутации
- 52
и еще 1 маленький вопросик
в реестре немогу удалить строку
+HKEY_LOCAL_MACHINE
+SOFTWARE
+Xanthic
-{1246792F-C12E-81AE-FE96-35D2FC917677}
пишет Ошибка открытия раздела
(вроде как ето посторонний софт которым я пользовался ранее...непомню)
ето может быть связано а руткитом?
-
Права на ключ посмотрите.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
pig
Права на ключ посмотрите.
пишет : не удается отобразить информацию о безопасности как только трогаю сам ключик
все галочки ставил пытался выставить на ветку не удаляется (посоветуйте спец прогу или как безболезненно удалить сие чудо)
Последний раз редактировалось bananje; 05.04.2010 в 01:37.
-
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677}');
end.
Помогло?
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
AndreyKa
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677}');
end.
Помогло?
к сожалению нет
вроде как можно ето удалить combofix
или какие еще есть варианты?
-
Junior Member
- Вес репутации
- 52
кто сталкивался подскажите? или как узнать он безвреден или нет?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
