-
Junior Member
- Вес репутации
- 53
Последствия руткита
Здравствуйте.
После перезагрузки системы начали вылезать ошибки в explorer.exe и services.exe, после чего система завершала работу. То же происходило при загрузки в безопасном режиме. Под слабым пользователем система загружалась, но доступ к Вашему, например, сайту был закрыт.
Я загрузил систему с CD, проверил системный диск CureIt. Тот нашел в одной папке Exploit.Java.33, в другой модификацию TM.Yama, если не ошибаюсь. После этого этого система опять не загрузилась в безопасном режиме, на этот раз просто осталась в черном экране.
Как написано в одной из местных веток, проверил ключ реестра Winlogon, там кроме userinit были две строки типа \\?\globalroot\systemroot\system32\filename.exe. Нашел оба файла в системной директории, перенес в архив. Их, кстати, DrWeb не нашел.
После этого система загрузилась под пользователем с правами администратора, единственно, при загрузке запустился CHECKDISK. Я собрал диагностическую информацию.
В логах файл можно найти файл the.exe. Это просто переименованый HijackThis.exe.
Посмотрите, пожалуйста, что там не так.
Последний раз редактировалось floyn; 24.06.2010 в 11:56.
Причина: важное замечание
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 53
1. Ваш скрипт выполнил, софт обновил, перегрузился. Во время повторной проверки скриптом, тот почему-то переименовал файл
C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll в
C:\Program Files\Adobe\Reader 9.0\Reader\authplay-.dll
(Акробат ридер я тоже обновил). Это нормально?
2. Во время сборки файлов AVZ не смог скопировать несколько файлов. Полученный архив я залил на сервер:
http://virusinfo.info/showpost.php?p...postcount=7616
3. С моими логами все нормально? От пакости ничего не осталось? Доступ к Virusinfo, например, с зараженного компьютера все еще закрыт
-
1. Нормально.
2.
Сообщение от
CyberHelper
Результаты обработки
Архив 100624_163938_virusinfo_files_MAANAVT_4c23520a15f9 4.zip, загружен 24.06.2010 17:00:28, размер 18827484 байт
Всего файлов: 90 (исполняемых 90), из них:
зловреды или опасные объекты: 0
подозрительные: 0
3. В AVZ меню Файл - Восстановление системы - отметьте строку:
20. Настройки TCP/IP: Удалить статические маршруты
и нажмите кнопку "Выполнить операции"
-
-
Junior Member
- Вес репутации
- 53
AVZ все еще пишет про перехват API функций в User и KernelMode. Почему так и надо ли с этим что-нибудь делать?
Простите мне мою настойчивость, хочется полностью избавиться от заразы, а не только от последствий.
-
-