Показано с 1 по 14 из 14.

Подозрение на Rootkit (заявка № 83597)

  1. #1
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50

    Exclamation Подозрение на Rootkit

    Здравствуйте от вирусов!
    21.07 мой avira выдал сообщение о том, что найден троянец 'RKIT/Krap.B.56228' [trojan], под кодовым названием 'C:\WINDOWS\system32\drivers\rbokbu.sys'. Подумав немного, сказал, что удалит, наверное, после перезагрузки. После оной файл в указанном адресе не удалился, и удалить его нельзя (ошибка). Dr.Web CureIt! также обозвал его тем же словом, попытался вылечить его, но с трудом поместив в карантин после перезагрузки сдал позиции - файл опять на своём месте, а avira при открытии папки карантина Dr.Web'а говорит, что карантинный файл тоже зловредный вирус, однако хоть его удаляет начисто. Наконец, любимая AVZ про файл молчит, лиш подозревает, что есть служба с именем rbokbu.sys, маскирующая процессы. Ботклинер не смог его удалить. Что же делать? Как мн Быть!?... Благодарю за любой ответ.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Здравствуйте вирусам. А где логи АВЗ по правилам? + лог HiJackThis.

  4. #3
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50
    Будьте здоровы от вирусов!
    Логи авз даны были под названием "вот", хайджек только скачал, высылаю лог. Кстати, авптул тоже пытался вылечить долго и упорно, даже прибег к перезагрузке. И не помогло. Теперь файл обозлился ещё больше и запрещает вызывать на себе контекстное меню. Ещё раз кстати, при удалении др.вэбом на следующую загрузку система говорит "Найдено новое оборудование", впоследствии как окажется что "его установить не удалось". И вопрос есть, где можно прочесть, как пользоваться хайджеком? Благодарю за предыдущий и следующий любой ответ.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Под названием "Вот" в любом случае должны быть не txt файлы, а логи АВЗ в архивах, перечитайте ещё правила пожалуйста. По поводу хайджека - saule-spb.ru

  6. #5
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50

    Подозрение на Rootkit

    Будьте здоровы от вирусов!
    Высылаю нужные логи по правилам + лог AVPTool и прошу простить мою неправильность. Напоминаю, что дело касается файла C:\WINDOWS\system32\drivers\rbokbu.sys, который был обозван авирой как 'RKIT/Krap.B.56228'. Файл не удаляется del(+Shift), запрещает вызывать на себе контекстное меню; Avira, Dr.Web CureIt! и Virus Removal Tool не смогли удалить его даже с помощью перезагрузки, несмотря на то, что авира и Вэб смогли скопировать его к себе в карантин, правда, вэбовский карантинный файл распознался авирой, как вредоносный и удалился начисто (хоть это хорошо). HiJackThis'ом, как неопытный пользователь такого рода программ, я не смог ничего сделать, только сделать лог.
    +есть вопрос по поводу файла
    C:\WINDOWS\I386\SVCPACK\MyTheme.exe, который год который распознаётся AVZ вирусом на 75%.Подробно всё в логах. Подскажите про каждый случай. СпасиБо.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\9b7658ad.exe,\\?\globalroot\systemroot\system32\Gdwby4S.exe,C:\WINDOWS\system32\e850817a.exe,C:\WINDOWS\system32\hmspoj.exe,
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\9b7658ad.exe','');
    DeleteFile('C:\WINDOWS\system32\9b7658ad.exe');
     QuarantineFile('\\?\globalroot\systemroot\system32\Gdwby4S.exe','');
     QuarantineFile('C:\WINDOWS\system32\hmspoj.exe','');
     QuarantineFile('C:\WINDOWS\system32\e850817a.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
     DeleteFile('C:\WINDOWS\system32\e850817a.exe');
     DeleteFile('C:\WINDOWS\system32\hmspoj.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\Gdwby4S.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать лог Гмером.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50
    я не знаю, что такое гмер...

  9. #8

  10. #9
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50
    Gmer не помог, точнее, не смог помочь… Каждый раз через 2 секунды после запуска возникает ошибка (см.скрин). Выполнил скрипт лечения/карантина для раздела «помогите!», перезагрузка, и раза три машина сама перезагружалась, дойдя до чёрного экрана с синей бегающей полоской. Проблему решил (быть может), войдя в безопасный режим с загрузкой сетевых драйверов и пролечив диск Virus Removal Tool’ом, естественно, который его (файл) не удалил, но хотя бы загрузил при перезагрузке нормально систему. Из злости на седящий на своём прижившемся месте файл решил я его сжать winrar'ом, так копьютер выдал ошибку, аля «здесь водки нет» :
    ! C:\WINDOWS\system32\drivers\rbokbu.rar: Невозможно открыть C:\WINDOWS\system32\drivers\rbokbu.sys
    ! Присоединенное к системе устройство не работает.
    Это точняк Rootkitина. У себя я исправил проблемы безопасности, указанные в прошлых логах, профиксил указанную строку и выполнил указанный скрипт, но, как видите, файл хихикает на своём месте. Высылаю новые логи и скрин,+ есть вопрос : как то заметил, что AVZ выдает в отчёте :
    C:\WINDOWS\system32\MSGINA.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\MSGINA.dll>>> Поведенческий анализ
    Типичное для кейлоггеров поведение не зарегистрировано
    Значит ли, что подозрения верны?
    З. Ы. :
    Это письмо пишу второй раз, так как при попытке написать в первый и после создания логов и подключения к сетке система жутко завязла, не мог открыть txt-файл и любую папку.
    Благодарю за ссылки и отклики.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('rbokbu');
     QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\rbokbu.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

    Сделайте лог Gmer (закройте/выгрузите все программы, отключите:
    - ПК от интернета/локалки;
    - антивирус и файрвол;
    - USB-модем, блютус и т.п.)

  12. #11
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50
    Скрипт выполнил. Gmer не запускается при выключенной авире и интернете (та же ошибка), логи высылаю + "правильный" каратнин. Благодарю за отклики.
    Последний раз редактировалось pig; 27.07.2010 в 02:14. Причина: Карантин надо загружать по "красной ссылке"

  13. #12
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50
    Файл по-прежнему на своем месте и не удаляется.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Скачайте "OSAM" (Online Solutions Autorun Manager)--http://www.online-solutions.ru/produ...n-manager.html
    В меню драйверов правой кнопкой по rbokbu и выберите "Turn Run Off". Перезагрузку подтвердите.
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\rbokbu.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\rbokbu.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте новый лог virusinfo_syscheck.zip

  15. #14
    Junior Member Репутация
    Регистрация
    22.07.2010
    Сообщений
    8
    Вес репутации
    50
    Здравсвуйте! Прошу простить за долгий перерыв. Проблема решилась переустановкой системы. Благодарю за попытки оказать помощь. Жаль не удалось сделать копию того файла для исследований.

  • Уважаемый(ая) Arkidon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на Rootkit
      От Arkidon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.07.2010, 00:57
    2. ПОДОЗРЕНИЕ НА ROOTKIT
      От cheburat в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 30.06.2010, 16:30
    3. Подозрение на rootkit.
      От Igor_ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.04.2009, 16:45
    4. Подозрение на RootKit
      От sshumov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2009, 16:14
    5. Подозрение на RootKit
      От Aleksandr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.05.2007, 14:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01620 seconds with 16 queries