Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Не запускаются АнтиRootKit (заявка № 88965)

  1. #1
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27

    Не запускаются АнтиRootKit

    Доброго времени суток.
    На ноутбуке прктически с самого начала его эксплуатации не запускалась служба обновления Защитника.
    Натолкнулся на ваш сайт и решил провериться описанными утилитами. Нашел подозрительные вещи, но в отсутсвии опыта не понял ничего. Но появились серьезные подозрения на RootKit.

    Пробовал вчера запустить несколько программ разных производителей, предназначенных к нахождению и удалению RootKit и столкнулся с ситуацией, когда запускались только те, которые могут только сканировать комп. Но могущие лечить не запускались в принципе.
    Сканировщики обнаружили много чего в драйверах и Реестре.

    Логи AVZ и HiJackThis прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\WOQYOC.exe','');
     QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\HUZKQNLBT.exe','');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Сделано.
    Скрипты вополнил, файл прислал по ссылке.

    Добавлено через 6 часов 2 минуты

    Эта информация необходима?

    Файл сохранён как 100929_113640_quarantine_4ca2ec88094f1.zip
    Размер файла 847008
    MD5 a5b36c64532f2f8e93a1078f9bb1aa35
    Последний раз редактировалось Olejka; 29.09.2010 в 16:39. Причина: Добавлено

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267

  6. #5
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Готово.

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    C:\Users\Олег\AppData\Roaming\Thinstall\Adobe Dreamweaver CS3\800000fbe00002i\Dreamweaver.exe - Знаком Вам этот файл?

  8. #7
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Прикол в том, что несколько дней назад я чистил комп и удалял весь Адоб и Дримвюер в том числе...

    Добавлено через 7 минут

    Кстати говоря, у этого файла весьма странная дата создания. Адоб я ставил гораздо раньше этой даты...

    Похоже там что-то прописалось...

    Добавлено через 1 минуту

    Да и размер как мне кажется весьма маловат для реального Дримвьюеровского экзешника - всего 60 кБ.
    Последний раз редактировалось Olejka; 30.09.2010 в 09:38. Причина: Добавлено

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Если не нужен - удалите его в МВАМ и повторите лог.

  10. #9
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Удалил. новый лог Мальвары в аттаче.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Чисто. Что с проблемой?

  12. #11
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Защитник Виндовс (defender) так и не запускается... Выдает ошибку...
    Может быть это изначальный баг системы?...

    Сейчас посмотрю на системные требования АнтиРутКита, может он и не должен на Висте пускаться.. (Это меня сегодня в метро осенило)

    Но сейчас у меня возник вопрос.

    В логах Хайджека у меня вызывает подозрение три записи:
    -----------------------------------
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe
    O23 - Service: WOQYOC - Sysinternals - www_точка_sysinternals_точка_com - C:\Users\05AC~1\AppData\Local\Temp\WOQYOC.exe
    O23 - Service: YTF - Sysinternals - www_точка_sysinternals_точка_com - C:\Users\05AC~1\AppData\Local\Temp\YTF.exe
    -----------------------------------

    Подозрение на следующих основаниях:

    Spyware Terminator - не помню, чтоб когда либо ставил на ноутбук. Но специально вчера пересмотрел Панель удаления программ и панель запуска программ. Нет ничего похожего...

    www_точка_sysinternals_точка_com - очень странный сайт, тут же пытается перенаправить куда-то. Заходить не стал, пытался проверить онлайн сервисом (который второпях нашел по поиску) - сказали, что сайт вообще не доступен.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Цитата Сообщение от Olejka Посмотреть сообщение
    www_точка_sysinternals_точка_com
    http://ru.wikipedia.org/wiki/Sysinternals

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe','');    
     BC_ImportAll;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  14. #13
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Со вторым подозрением разобрался... Там все чисто должно быть. Это как раз от того самого Антируткита для Виндовс...

    С первым сейчас выполню ваши рекомендации.

    Добавлено через 18 минут

    Сделано.
    Файл отправлен по ссылке.
    ------
    ой, только я его переименновал в quarantine.zip...
    Последний раз редактировалось Olejka; 30.09.2010 в 13:45. Причина: Добавлено

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe - судя по всему, этого файла в системе нет, осталась ссылка на него и она видна в логе HiJackThis, можно пофиксить, если хотите.

  16. #15
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    ОК.

    Спасибо за помощь!

    Добавлено через 1 минуту

    Да, я так понял, что в первых двух файлах ничего зловредительского не обнаружено. Так?
    Последний раз редактировалось Olejka; 30.09.2010 в 14:27. Причина: Добавлено

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Окончательный вердикт им не поставлен, но - по первым данным - чистые + имеют копирайты -
    Copyright (C) 2005-2006 Bryce Cogswell and Mark Russinovich 1.70

  18. #17
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Русинович - это как раз разработчик программ с сайта www_точка_sysinternals_точка_com...

    Так что похоже, была ложная тревога...

    Это видать паранойя обыкновенная... После того, как я на домашнем много чего нашел.
    Как раз собираюсь в новой теме просить совета.

    Добавлено через 10 минут

    О-па. А C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe в Хайджеке не фиксится.
    говорит, что удалил. Но при повторном сканировании снова определяет...
    Последний раз редактировалось Olejka; 30.09.2010 в 14:55. Причина: Добавлено

  19. #18
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Поищите так - программа АВЗ - Сервис - Поиск файлов на диске - Отметьте галкой место его расположения и в поле маска задайте sp_rsser.exe, если найдёте - отметьте галкой и скопируйте в карантин, карантин залейте по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  20. #19
    Junior Member Репутация
    Регистрация
    27.09.2010
    Сообщений
    16
    Вес репутации
    27
    Файл найден, но вот не могу найти, куда карантин сохранился...
    В каталоге АВЗ только два предыдущих.

    Добавлено через 5 минут

    Я его заархивировал стандартными средствами. Не знаю, верно ли сделал.

    А может быть его в АВЗ попробовать и удалить? (Из режима поиска на диске)
    Последний раз редактировалось Olejka; 30.09.2010 в 15:39. Причина: Добавлено

  21. #20
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Если он Вам не нужен, попробуйте грохнуть его отложенным удалением - Программа АВЗ - Файл - Отложенное удаление файла. После этого проверьте его наличие.

  • Уважаемый(ая) Olejka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не запускаются exe
      От Razengan в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.01.2012, 19:57
    2. не запускаются exe
      От ilnurgi1 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.12.2011, 08:19
    3. Не запускаются .exe
      От Illiya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.11.2010, 20:03
    4. не запускаются avz и т.п.
      От rieken в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.10.2010, 16:55
    5. Не запускаются lnk
      От zkuzmin в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.08.2010, 18:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01645 seconds with 16 queries