Показано с 1 по 9 из 9.

Подозрение на руткит (заявка № 82835)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2010
    Сообщений
    4
    Вес репутации
    28

    Exclamation Подозрение на руткит

    Доброго времени суток. Проблема в следующем - на компьютере вижу следы действий, которых я не совершал. Всё началось 1 апреля: на раб. столе заметил mp3шку (музыкальную), это показалось мне подозрительным, т.к. музыкальный жанр совешенно не совместим с моими вкусами и за компьютером кроме меня никого не бывает. "Наверное забыл, что когда-то эту фигню скачал", подумал я и отправил её в корзину. Но потом я заметил совсем подозрительную вещь: в файрфоксе (моём основном браузере) стали появляться формы, которые я никогда не вводил. У меня почта на яндексе, пароль мой браузер не запоминает, но логин сохраняется. Так вот, когда я в очередной раз хаходил на почту, вместо формы только с моим логином вылезла форма не только с ним, но и скучей других логинов. Причём это были логины типа имя/фамилия (не мои), только написанные по разному (могу предположить, что это был подбор), короче говоря см. скриншот (стёртые области - те самые логины). Проверялся касперским с макс. настройками, cureit'ом, malwarebytes anntymalware, spybot, sophos antirootkit: ничего не дало

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    402
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\58.tmp','');
     DeleteService('MEMSWEEP2');
     QuarantineFile('c:\windows\felix.exe','');
     DeleteFile('C:\WINDOWS\system32\58.tmp');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Шапельский Александр; 10.07.2010 в 12:59. Причина: Скрипт изменил

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2010
    Сообщений
    4
    Вес репутации
    28
    Спасибо за ответ

    На счёт скрипта: felix.exe - клинт авторизации (через него к интернету подключаюсь), афайцафцафаф.exe - process explorer, качал с оф. сайта майкрософта (переименовал на всякий случай). Так что есть серьёзные основания полагать, что эти файлы - безопасные.
    Последний раз редактировалось loser3000; 10.07.2010 в 12:52.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    402
    Цитата Сообщение от loser3000 Посмотреть сообщение
    felix.exe - клинт авторизации
    Надо проверить этот файл, то, что я нашел по нему, отличается размером файла.
    В скрипт изменения внес.

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2010
    Сообщений
    4
    Вес репутации
    28
    Карантин отправил, вот логи

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    402
    По предварительным данным файл чистый, что сейчас с проблемой?

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2010
    Сообщений
    4
    Вес репутации
    28
    В силу своего нубства я могу отследить только те две активности, которые описал в 1 посте (непонятные файлы/формы в ff): в этом плане проблем с момента обращения к вам не было.

    Но у меня к вам вопрос: совсем недавно поставил APS, говорит что UDP порт 1025,B (Backdoor.Optix,Backdoor.Kilo) занят другой программой (единственный из всех). Может эта прога и есть руткит?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    В ФФ почистите "Надстройки"
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) loser3000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на руткит
      От sazmir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.12.2011, 13:02
    2. Подозрение на руткит
      От Caterpillar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 14:25
    3. Подозрение на руткит
      От TJDimas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.04.2010, 05:04
    4. Подозрение на руткит
      От RooTC в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.03.2009, 10:39
    5. Подозрение на руткит
      От Hazard163 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.12.2008, 23:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00134 seconds with 16 queries