Показано с 1 по 10 из 10.

Подозрение на руткит (заявка № 98635)

  1. #1
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    34

    Exclamation Подозрение на руткит

    При запуске браузеров с рабочего стола появляется ошибка "Системная библиотека kernel32.dll перемещена в памяти". При запуске с TC или батника - нет.
    Свежие CureIt и AVPTool находят только блокировку антивирусных вендоров в hosts. При очистке hosts вручную они появляются примерно через минуту.
    Попытки установки avp, drweb и nod32 приводят к зависанию инсталляторов.
    В папке prefetch подозрительные запуски отсутствующих файлов xor.exe, 55555.exe.
    Файл C:\DREAM\PIANO\xor.exe не виден даже при загрузке с Live CD.
    Последний раз редактировалось TJDimas; 25.02.2011 в 22:37.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте.
    Отключите:
    -ПК от интернета
    -Все защитные приложения
    -Восстановление системы
    Подключите:
    -Диск F:\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\DREAM\PIANO\xor.exe','');
    DeleteFile('F:\autorun.inf');
    DeleteFile('C:\DREAM\PIANO\xor.exe');
    DelCLSID('23MAD6M9-4MAD-76AD-JIM3-73OP5G7781022');
    BC_ImportAll;
    ExecuteSysClean;
    ClearHostsFile;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Обязательно обновите базы AVZ (Файл->Обновление баз)
    Сделайте повторные логи.

  4. #3
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    34
    Скрипт не помог. Карантин пуст. Ошибка осталась.
    Флешка F:\ "вакцинирована" Panda USB Vaccsine.

    В процессе повторного сбора логов в позицию курсора вышла строка:
    testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttest

    Есть ещё идеи?
    Последний раз редактировалось TJDimas; 09.03.2011 в 16:51.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Цитата Сообщение от TJDimas Посмотреть сообщение
    Скрипт не помог.
    Код:
    Внимание !!! База поcледний раз обновлялась 06.01.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    ...
    Восстановление системы: включено
    Поэтому он Вам и не помог.
    Отключите:
    -Восстановление системы
    Выполните скрипт в AVZ:
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\x264vfw.dll','');
    QuarantineFile('C:\WINDOWS\gdrv.sys','');
    QuarantineFile('c:\windows\system32\winlogon.exe','');
    QuarantineFile('c:\windows\explorer.exe','');
    ClearHostsFile;
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Обязательно обновите базы AVZ (Файл->Обновление баз).
    Сделайте лог MBAM.
    Цитата Сообщение от TJDimas Посмотреть сообщение
    В процессе повторного сбора логов в позицию курсора вышла строка:
    testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttest
    Это нормально.

  6. #5
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    34
    Я так понимаю, что оригинальные версии explorer и winlogon нужно приготовить заранее?

  7. #6
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    34
    Отключил восстановление, выполнил скрипт, высылал карантин, но проблему это не решило.

    Свежий AVP Tool нашёл trojan.win32.patched.lk и удалил winlogon и explorer.
    Скопировал winlogon и explorer с незаразного компьютера, иначе система не загружалась.

    Спасибо
    Последний раз редактировалось TJDimas; 20.04.2011 в 20:45.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    34
    Прилагаю.

    Решил по ходу проблему: при просмотре системных служб в расширенном режиме ошибка:

    "Не удалось отобразить один или несколько элементов ActiveX по одной из следующих причин.
    1) Запуск элементов ActiveX на этой веб-странице запрещен текущими параметрами безопасности.
    2) Поставщик одного из этих элементов заблокирован.
    Эта страница может отображаться неправильно."

    В стандартном режиме службы отображаются.

    Удалил все ветки кроме 1,2,3,4 из
    HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\,
    запустил IE и сбросил настройки безопасности всех зон на умолчания.

    Помогло.
    Последний раз редактировалось TJDimas; 20.04.2011 в 23:20.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Удалите в MBAM:
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{23mad6m9-4mad-76ad-jim3-73op5g7781022} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\drivers\48348722.sys (Rootkit.Agent.H) -> No action taken.
    Сделайте повторный лог MBAM.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\explorer.exe - Trojan.Win32.Patched.lk ( DrWEB: Win32.Dat.17, BitDefender: Trojan.Patched.KB.1, AVAST4: Win32:WinPatch )
      2. c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.lk ( DrWEB: Win32.Dat.17, BitDefender: Trojan.Patched.KB.1, NOD32: Win32/Bamital.FH trojan, AVAST4: Win32:WinPatch )


  • Уважаемый(ая) TJDimas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на руткит
      От sazmir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.12.2011, 13:02
    2. Подозрение на руткит
      От loser3000 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.07.2010, 10:45
    3. Подозрение на руткит
      От Caterpillar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 14:25
    4. Подозрение на руткит
      От TJDimas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.04.2010, 05:04
    5. Подозрение на руткит
      От Hazard163 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.12.2008, 23:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01131 seconds with 16 queries