Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Не получается вычистить руткит! (заявка № 9963)

  1. #1
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40

    Question Не получается вычистить руткит!

    Компьютер попал ко мне в почти убитом состоянии - слетел драйвер видеокарты, не работал TCP-IP.
    Лечил с помощью CureIt, NOD32, Kav, Avz. Все находили кое-что, но какая-то зараза оставалась.
    С помощью загрузочного CD (Bart PE+Kasper Intrernet security) удалось вычистить казалось бы последнюю порцию заразы, в том числе кое-что классифицировалось как rootkit.

    Но судя по всему что-то еще сидит. Симптомы следующие:
    1. AVZ ругается на маскировку драйвера parport.sys, причем это ноутбук, у которого нету параллельного порта.
    2. Сразу после загрузки Outpost ругается, что скрытый процесс запрашивает исходящее соединение (svchost.exe запущен winlogon.exe)
    3. Система не грузится в safe mode. Загрузка доходит до списка пользователей (это XP home) и затем система выключается. Не падает, а именно выключается, так как перезагрузка после BSOD отключена, минидампы не создаются, а в system event log создается запись "Служба журнала событий остановлена".

    Прилагаю протоколы avz и hijackthis собранные согласно правилам раздела.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Почистить корзину и временные файлы Интернет.
    Можно воспользоваться CCleaner.

    Много еще всего осталось. Сейчас попробую собрать воедино.
    в AVZ выполнить скрипт:
    Код:
    begin
    SetAVZPM(true);
    RebootWindows(true);
    end.
    После перезагрузки выполнить второй скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    QuarantineFile('\SystemRoot\System32\Drivers\Parport.SYS' ,'');
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через форму (ссылку см. вверху темы)
    Последний раз редактировалось PavelA; 23.05.2007 в 15:12.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\mprwanp.dll');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('atmmgr32.dll');
     DeleteFile('atmstat.dll');
     DeleteFile('confatm.dll');
     DeleteFile('confjfg.dll');
     DeleteFile('confjpg.dll');
     DeleteFile('confwmv.dll');
     DeleteFile('confxxn.dll');
     DeleteFile('e1.dll');
     DeleteFile('jfgmgr32.dll');
     DeleteFile('jfgstat.dll');
     DeleteFile('jpgmgr32.dll');
     DeleteFile('jpgstat.dll');
     DeleteFile('wmvmgr32.dll');
     DeleteFile('wmvstat.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('MySQL');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis то, что останется из:
    Код:
    O2 - BHO: SXBandMaster Catcher - {628CD0A4-60A0-47C8-838F-86318CCEFB9B} - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing)
    O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
    O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
    O20 - Winlogon Notify: mprwanp - C:\WINDOWS\system32\mprwanp.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
    Сделайте новые логи.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    Для PavelA:
    SetAVZPM(true); не проходит проверку синтаксиса, но я включил AVZPM через меню.
    В остальном все сделал, как сказано, карантин отправил
    Но avz продолжает ругаться на маскировку драйвера parport.sys

    для Bratez
    После выполнения скриптов часть сообщений HJThis (O20) изменилась -
    O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing)
    O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
    O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
    O20 - Winlogon Notify: mprwanp - C:\WINDOWS\system32\mprwanp.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)

    Из них исчезло (file missing). Я теперь не знаю - фиксить их или нет

    В результате всех действий:
    1. Ругань на parport.sys осталась
    2. Safe Mode не грузится
    3. НО пропал запрос скрытого процесса на исходящее соединение
    Вложения Вложения

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от Mur466 Посмотреть сообщение
    Для PavelA:
    SetAVZPM(true); не проходит проверку синтаксиса, но я включил AVZPM через меню.
    В остальном все сделал, как сказано, карантин отправил
    Но avz продолжает ругаться на маскировку драйвера parport.sys
    В карантин не попал parport.sys. Попала другая дллька
    Скорее всего, это обшибочка AVZ.
    Цитата Сообщение от Mur466 Посмотреть сообщение
    для Bratez
    Из них исчезло (file missing). Я теперь не знаю - фиксить их или нет

    В результате всех действий:
    1. Ругань на parport.sys осталась
    2. Safe Mode не грузится
    3. НО пропал запрос скрытого процесса на исходящее соединение
    Где file missing - фиксить, но только те строчки что писал Bratez.
    Safe Mode - восстановить - AVZ - восстановление системы - п.10

    Плюс профиксить:
    Код:
    O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
    O20 - Winlogon Notify: jfgmgr - C:\WINDOWS\
    O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\
    O20 - Winlogon Notify: mprwanp - C:\WINDOWS\
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\
    O20 - Winlogon Notify: wmvmgr - C:\WINDOWS\
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    Цитата Сообщение от PavelA Посмотреть сообщение
    В карантин не попал parport.sys. Попала другая дллька
    Скорее всего, это обшибочка AVZ.
    Я загрузился с загрузочного CD BartPE и сравнил C:\windows\system32\drivers\parport.sys с файлом с другой системы с помощью утилиты fc.exe. Они оказались одинаковые. На всякий случай я удалил C:\windows\system32\drivers\parport.sys. AVZ на него ругаться перестал, но в диспетчере устройств он вылез с воскл.знаком. Пришлось вернуть на место.

    Цитата Сообщение от PavelA Посмотреть сообщение
    Safe Mode - восстановить - AVZ - восстановление системы - п.10
    Не помогло


    Плюс профиксить:
    Код:
    O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
    O20 - Winlogon Notify: jfgmgr - C:\WINDOWS\
    O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\
    O20 - Winlogon Notify: mprwanp - C:\WINDOWS\
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\
    O20 - Winlogon Notify: wmvmgr - C:\WINDOWS\
    Сделал. Никаких из менений в итоге не заметил.

    Есть еще предложения?
    Уж очень подозрительная ситуация с safe mode...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    828
    Скопируйте вручную parport.sys и пришлите нам по правилам...

  9. #8
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    parport.sys скопировал, загрузившись с CD, и отправил

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    @ Mur466 Нужен новый набор логов. Будем изучать, что осталось и подчистите "Корзину".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    Ок, логи сделаю, но теперь уже завтра с утра (я в Москве). Спасибо всем за оперативную помощь.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Off: Да я тоже вообще-то в столице
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    Напоминаю суть проблемы: после лечения зоопарка на ноутбуке, есть сомнения, что вылечилось не все.

    Симптомы:
    1. Не удается загрузить safe mode. Загрузка доходит до экрана со списком пользователей, через 1 секунду система перегружается. При этом в настоящий момент в system event log не появляется запись "служба журнала событий остановлена"(Хотя вчера при перезагрузке такая запись появлялась). Автоперезагрузка после синего экрана отключена. Создание минидампов включено, но после перезагрузки они не появляются.
    Восстановление загрузки safe mode с помощью AVZ не помогает.

    2. AVZ ругается на маскировку драйвера parport.sys. Сам драйвер вроде бы "родной". На ноутбуке параллельный порт не установлен.

    Новые логи прилагаются.
    Вложения Вложения

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Профиксить в HijackThis строчку:
    Код:
    O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll
    По поводу SafeMode: есть утилита Bootvis. Где живет не помню, но можно поискать и при помощи нее посмотреть, что происходит при загрузке.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    Цитата Сообщение от PavelA Посмотреть сообщение
    Профиксить в HijackThis строчку:
    Код:
    O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll
    Сделал. Теперь outpost работает в каком-то Service Mode, не знаю что это такое.

    Цитата Сообщение от PavelA Посмотреть сообщение
    По поводу SafeMode: есть утилита Bootvis. Где живет не помню, но можно поискать и при помощи нее посмотреть, что происходит при загрузке.
    К сожалению, он загрузку SafeMode не трассирует. По крайней мере у меня не получилось. Вместо этого он трассирует загрузку уже после попытки войти в SafeMode.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Значит надо будет восстановить эту строчку из Backupa hijackThis и поискать в regedit firewall\wl_hook.dll. Причем именно так как написано.
    Если найдется, то удалить. Затем заново сделать лог hijackThis и посмотреть на строку. Д.б. указание только на последнюю dll

    К сожалению, не знаю как это исправить в Outpost. Может кто-то другой что-то подскажет.

    Насчет parport.sys - возможно в BIOS включена поддержка порта. Вот винда и ставит этот драйвер.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    Переставил Outpost, теперь с этой строчкой все в порядке:
    Код:
    O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll
    Про parport: В этом ноуте нет возможности войти в BIOS Setup, есть только утилиты для конфигурации BIOS в Control Panel. В них никак параллельный порт не упоминается
    В ntbtlog.txt пишется, что он не не загружается.
    Код:
    Did not load driver \Systemroot\System32\Drivers\Parport.sys
    Может с ним все в порядке, так и должно быть?

    Меня больше всего волнует не работающий Safe Mode. Ключ SafeBoot в регистри уже восстанавливал и с помощью AVZ и вручную копировал с другой машины. Не помогает

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Меня больше всего волнует не работающий Safe Mode.
    Попробуйте так, как написанно здесь (пост №6).

  19. #18
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    На этот пост я уже натыкался в своих поисках. Там проблема другая - F8 не работает. А у меня работает.

    На всякий случай сделал то, что там описано (отредактировал boot.ini) и загурзил Safe Mode через меню. Ситуация не улучшилась.

    Начинается загрузка в Safe mode. Загружаются драйвера, затем черный экран, по углам написано "Безопасный режим Windows XP сборка такая-то", затем синий экран с сообщением "Запуск Windows...", затем появляется список пользователей - под кем войти. Через секунду ноут идет на перезагрузку.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    367
    а пробовали AVZ - файл - востановление системы - востановление настроек загрузки в SafeMod поставить галочку и выполнить..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  21. #20
    Junior Member Репутация
    Регистрация
    23.05.2007
    Сообщений
    16
    Вес репутации
    40
    Цитата Сообщение от Ego1st Посмотреть сообщение
    а пробовали AVZ - файл - востановление системы - востановление настроек загрузки в SafeMod поставить галочку и выполнить..
    Да, пробовал.

  • Уважаемый(ая) Mur466, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.01.2012, 03:11
    2. Руткит: как диагностировать и очистить?
      От ariksu в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.01.2012, 13:42
    3. Ответов: 4
      Последнее сообщение: 02.07.2011, 20:11
    4. Ответов: 7
      Последнее сообщение: 03.07.2009, 14:26
    5. Не получается очистить комп от trojan.virtumod
      От esquier в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00793 seconds with 17 queries