Показано с 1 по 6 из 6.

Последствия руткита (заявка № 81711)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    8
    Вес репутации
    52

    Thumbs up Последствия руткита

    Здравствуйте.

    После перезагрузки системы начали вылезать ошибки в explorer.exe и services.exe, после чего система завершала работу. То же происходило при загрузки в безопасном режиме. Под слабым пользователем система загружалась, но доступ к Вашему, например, сайту был закрыт.

    Я загрузил систему с CD, проверил системный диск CureIt. Тот нашел в одной папке Exploit.Java.33, в другой модификацию TM.Yama, если не ошибаюсь. После этого этого система опять не загрузилась в безопасном режиме, на этот раз просто осталась в черном экране.

    Как написано в одной из местных веток, проверил ключ реестра Winlogon, там кроме userinit были две строки типа \\?\globalroot\systemroot\system32\filename.exe. Нашел оба файла в системной директории, перенес в архив. Их, кстати, DrWeb не нашел.

    После этого система загрузилась под пользователем с правами администратора, единственно, при загрузке запустился CHECKDISK. Я собрал диагностическую информацию.

    В логах файл можно найти файл the.exe. Это просто переименованый HijackThis.exe.

    Посмотрите, пожалуйста, что там не так.
    Последний раз редактировалось floyn; 24.06.2010 в 11:56. Причина: важное замечание

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    8
    Вес репутации
    52
    1. Ваш скрипт выполнил, софт обновил, перегрузился. Во время повторной проверки скриптом, тот почему-то переименовал файл
    C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll в
    C:\Program Files\Adobe\Reader 9.0\Reader\authplay-.dll
    (Акробат ридер я тоже обновил). Это нормально?

    2. Во время сборки файлов AVZ не смог скопировать несколько файлов. Полученный архив я залил на сервер:
    http://virusinfo.info/showpost.php?p...postcount=7616

    3. С моими логами все нормально? От пакости ничего не осталось? Доступ к Virusinfo, например, с зараженного компьютера все еще закрыт

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    1. Нормально.
    2.
    Цитата Сообщение от CyberHelper Посмотреть сообщение
    Результаты обработки
    Архив 100624_163938_virusinfo_files_MAANAVT_4c23520a15f9 4.zip, загружен 24.06.2010 17:00:28, размер 18827484 байт
    Всего файлов: 90 (исполняемых 90), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    3. В AVZ меню Файл - Восстановление системы - отметьте строку:
    20. Настройки TCP/IP: Удалить статические маршруты
    и нажмите кнопку "Выполнить операции"

  6. #5
    Junior Member Репутация
    Регистрация
    22.01.2010
    Сообщений
    8
    Вес репутации
    52
    AVZ все еще пишет про перехват API функций в User и KernelMode. Почему так и надо ли с этим что-нибудь делать?
    Простите мне мою настойчивость, хочется полностью избавиться от заразы, а не только от последствий.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Так и надо.

  • Уважаемый(ая) floyn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Словил руткита(
      От bossmen5 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2012, 20:33
    2. Код руткита в wininet.dll
      От ViVeda в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.07.2011, 07:44
    3. Убить руткита
      От Alex55-55 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.11.2010, 22:18
    4. Следы от руткита
      От onDemand в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 10.07.2009, 11:48
    5. Похоже на руткита
      От Максут в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.08.2008, 18:04

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00123 seconds with 17 queries