Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

rootkit и 152 процесса rundll32 (заявка № 82339)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33

    Question rootkit и 152 процесса rundll32

    Всем доброго дня!
    прошу помочь по сабжу.

    Спасибо.
    Последний раз редактировалось Alexey_75; 08.07.2010 в 16:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Вот, добавил полный гмер-лог
    Последний раз редактировалось Alexey_75; 08.07.2010 в 16:00.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Доброго времени суток
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится bncjtigj.exe (gmer)
    Код:
    bncjtigj.exe -del service vowcuegya
    bncjtigj.exe -del service wbqzf
    bncjtigj.exe -del file "C:\WINDOWS\system32\letbiu.dll"
    bncjtigj.exe -del file "C:\WINDOWS\system32\06BBA.tmp"
    bncjtigj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vowcuegya"
    bncjtigj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vowcuegya"
    bncjtigj.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!
    Сделать новый лог gmer.
    выполните скрипт в AVZ:
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); 
     QuarantineFile('c:\sspservice\skstransport.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\hbkernel32.sys','');
     QuarantineFile('C:\WINDOWS\system32\06BBA.tmp','');
     QuarantineFile('C:\WINDOWS\system32\8b52f47.sys','');
     QuarantineFile('C:\WINDOWS\system32\4c70249.sys','');
     QuarantineFile('C:\WINDOWS\system32\4901228.sys','');
     QuarantineFile('E:\DataCollector\DataCollector.exe','');
    end.
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи gmer и virusinfo_syscheck.zip

  5. #4
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Файл сохранён как 100702_161310_quarantine_4c2dd7d6a8135.zip
    Размер файла 33535
    MD5 f3d5ce0935e76f363f9bbcdd0badb528

    Сейчас готовятся логи.
    Там в карантине есть безобидные служебные вещи...
    Последний раз редактировалось Alexey_75; 08.07.2010 в 16:00.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    При создании повторного лога gmer на Scan забыли нажать. Переделать
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Сорри...
    Последний раз редактировалось Alexey_75; 07.07.2010 в 10:01.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Этот лог в порядке. По карантину АВЗ надо ждать, пока проснется киберанализатор
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Доброе утро!
    Сейчас пришёл на работу, компьютер с пятницы не выключал. Опять 130 процессов rundll32.exe...

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('wbqzf');
     DeleteService('8b52f47');
     DeleteService('4c70249');
     DeleteService('4901228');
     DeleteFile('C:\WINDOWS\system32\4901228.sys');
     DeleteFile('C:\WINDOWS\system32\4c70249.sys');
     DeleteFile('C:\WINDOWS\system32\8b52f47.sys');
     DeleteFile('C:\WINDOWS\system32\06BBA.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Новые логи. Сканирование ещё не закончилось, опять повалили rundll32.exe
    Последний раз редактировалось Alexey_75; 08.07.2010 в 16:00.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Это в благодарность за дырявость системы к Вам Kido лезет

    Обновляйте срочно систему

    Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Не знаю, зачем, но прогнал kidokiller. Вроде помогло.
    Затем выполнил Ваши инструкции и запустил combofix.
    лог в атт.

    ЗЫ: Вложения можно очистить? ато уже места не хватает...
    Последний раз редактировалось Alexey_75; 07.07.2010 в 10:01.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Да, самые древние вложения (не из этой темы) можно удалить через Мой кабинет

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    NetSvc::
    wkczncgj
    vowcuegya
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2147:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Да, приятного мало... Оставил работать combofix и ушёл домой. Утром таже картина. лог в атт.
    Последний раз редактировалось Alexey_75; 07.07.2010 в 10:01.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Систему обновлять думаете?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Извините за задержку. Всё обновил.
    Последний раз редактировалось Alexey_75; 08.07.2010 в 16:00.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Установили только SP3 или все новые патчи тоже устанавливали?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Да, установил всё, догнал с WU. Только теперь на virusinfo заходит только через 216.246.90.119. Gmer обнаружил rootkit. Начинать всё с начала?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Сделайте логи.

  21. #20
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    195
    Вес репутации
    33
    Новые логи
    Последний раз редактировалось Alexey_75; 03.08.2010 в 19:03.

  • Уважаемый(ая) Alexey_75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. rundll32 \\tsclient\a\a.dll a
      От margaygals в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.06.2012, 19:49
    2. Проблема с rundll32.exe
      От nuestro в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.02.2010, 02:08
    3. Отладчик системного процесса + RootKit
      От Cyanide в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.04.2009, 02:44
    4. ошибка rundll32.exe
      От sergei84 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.04.2009, 19:46
    5. Rundll32.exe
      От Nidhogg в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00798 seconds with 16 queries