-
Junior Member
- Вес репутации
- 51
ПОДОЗРЕНИЕ НА ROOTKIT
ЗДРАВСТВУЙТЕ ГОСПОДА ! НЕКОТОРОЕ ВРЕМЯ НАЗАД ЗАМЕТИЛ СТРАННОСТИ В ПОВЕДЕНИИ КОМПЬЮТЕРА ПРИ РАБОТЕ В ИНТЕРНЕТЕ
+ПЕРЕГРУЖАЕТСЯ ПРОЦЕССОР И ЗАВИСАЕТ. ПРОВЕРЯЛСЯ НЕСКОЛЬКИМИ
АНТИВИРУСАМИ - ВСЁ ЧИСТО . ЕЩЁ ЗАМЕТИЛ ЧТО МНОГИЕ СИСТЕМНЫЕ
ФАЙЛЫ ПРОДУБЛИРОВАНЫ СКРЫТЫМИ (ДАЖЕ С ГАЛКОЙ ПОКАЗЫВАТЬ СКРЫТЫЕ ФАЙЛЫ) С ТЕМ ЖЕ НАЗВАНИЕМ НО С ХИТРЫМ ЗНАЧКОМ ВПЕРЕДИ. ВИДНЫ ОНИ ТОЛЬКО ПРИ ОТКРЫТИИ СИСТЕМНОЙ ПАПКИ.
ВСЕ ХИТРЫЕ ПАПКИ-ТЕКСТ ИЗ ДВУХ СТРОК(В ПЕРВОЙ ПОМИМО ХИТРЫХ
ЗНАЧКОВ ЕСТЬ УЧЁТНАЯ ЗАПИСЬ ПОД КОТОРОЙ Я РАБОТАЮ-АДМИН,А
ВТОРАЯ ПРОСТО КАКОЙ ТО КОД). ПЕРВАЯ СТРОКА ВЕЗДЕ ОДИНАКОВАЯ ,
ВТОРЫЕ ВСЕ РАЗНЫЕ. НОРМАЛЬНО РАБОТАТЬ В ИНТЕРНЕТЕ УДАЁТСЯ
ТОЛЬКО ПОД ДРУГОЙ УЧЁТНОЙ ЗАПИСЬЮ(С ОГРАНИЧЕННЫМИ ПРАВАМИ),
СООТВЕТСТВЕННО АНТИВИРУСНЫЕ УТИЛИТЫ ЗАПУСТИТЬ НЕ МОГУ,
ПОЭТОМУ ЛОГИ ПРИКРЕПЛЮ ПОЗЖЕ , НАДЕЮСЬ ЧТО ПОЛУЧИТЬСЯ.
С УВАЖЕНИЕМ CHEBURAT.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 51
наконец прикрепляю логи. жду помощи. с уважением cheburat.
Последний раз редактировалось cheburat; 21.06.2010 в 13:31.
Причина: хорошая мысля ...
-
Доброго времени суток
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
ExecuteRepair(16);
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 51
выполнил всё согласно вышеуказанного,в логах всё по прежнему.
прикрепляю.
-
выполните скрипт в AVZ:
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ + сделайте лог лог mbam.
-
-
Junior Member
- Вес репутации
- 51
здесь лог в avz , а mbam по вашей ссылке платный (платить 665 руб. за
единичное использование я пока не готов) может есть бесплатная альтернатива?
-
Я Вам не предлагал приобретать лицензию на полный продукт. В этом нет необходимости. Просто сделайте сканирование и сохраните лог, который надо прикрепить к сообщению, для этого не надо тратиться!
-
-
Junior Member
- Вес репутации
- 51
добрый вечер . не знаю в чём прикол но вчера по вашей ссылке я попадал
на другой сайт ( может быть причина в смене имени администратора и па-
роля ?)
-
Проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636281
Похоже, что у вас был зеус. Меняйте пароли.
-
-
Junior Member
- Вес репутации
- 51
доброго времени суток господа. проверил систему по вашей ссылкею. C:\WINDOWS\system32\lowsec по этому адресу лежит зараа (Stolen.data по mbam , trojan-spi.win 32.zbot по zbotkiller).zbot... к сожалению заразу не лечит и не удаляет ,При следующих проверках вылазиет вновь. могу ли я без последствий удалить эту папку ? И что мне делать с backdoor.boot и malware.trace подскажите плиииииз ? заранее спасибо за уделённое мне внимание , с уважением cheburat.
-
Пришлите содержимое этой папки через карантин AVZ.
-
-
Junior Member
- Вес репутации
- 51
вечер добрый. долго соображал как это сделать , в результате первый файл был отправлен с неверной ссылкой а тему. со вторым файлом вроде всё сделал правильно,жду дальнейших инструкций. с уважением cheburat.
-
Карантин так и не пришел. Загружать по красной ссылке вверху темы!
-
-
Junior Member
- Вес репутации
- 51
Отослал ещё раз , встречайте .
-
В карантине либо мусор, либо зашифрованные данные. Удаляйте эти 3 файла.
-
-
Junior Member
- Вес репутации
- 51
здравствуйте господа. папку из под зевса вроде удалил , спасибо .
но что делать с остальной заразой мы с вами так и не определились.
весь сгораю от желания излечиться , с уважением cheburat .
-
Удалите в mbam
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Админ\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
еще что-нибудь беспокоит?
-
-
Junior Member
- Вес репутации
- 51
доброго времени суток господа.с mbam вроде разобрались.провеил
систему несколькими антивирусами , в авире всплывает скрытый
процесс и скрытый файл. ещё я заметил, что лицензионный web с
14 июня не обновляется автоматически ,попробовал вручную-не
проходит.в чём может быть причина? в awz ещё больше неопределённых
перехватов + всплыла маскировка процесса. ( я стал плохо спать по
ночам).
прикрепляю логи.
-
Junior Member
- Вес репутации
- 51
добавляю.с уважением cheburat.
-
Два антивируса на компьютере не к добру.
Сообщение от
cheburat
лицензионный web с
14 июня не обновляется автоматически ,попробовал вручную-не
проходит.в чём может быть причина?
Смотрите логи.
-