Решена Подозрение на RootKit

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Corvin, 27 авг 2009.

Статус темы:
Закрыта.
  1. Corvin
    Оффлайн

    Corvin Активный пользователь

    Сообщения:
    20
    Симпатии:
    12
    Здравствуйте!Есть подозрение что в системе затаился RootKit.Компютер работает нормально,на днях правда пришлось восстановить ассоциации REG-файлов,не известно по какой причине они пропали,и заметил слишком быструю загрузку,бутскрина,бегунок пробегает 1раз,хотя до этого от 4 до 7 стандартно(система стоит уже около пол года).
    Сомнения появились,когда проследил,что при загрузке,генерируется какой-то драйвер,при чем с каждой новой загрузкой у него новое имя,например aaa05aau.sys...Зарание спасибо.
     
  2. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mkunicode.dll','');
     QuarantineFile('C:\WINDOWS\system32\mmfinfo.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aujasnkj.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aujasnkj.sys');
     DeleteFile('C:\WINDOWS\system32\mmfinfo.dll');
     DeleteFile('C:\WINDOWS\system32\mkunicode.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите карантин (файл quarantine.zip из папки AVZ) в тему по ссылке

    Повторите логи.
     
    2 пользователям это понравилось.
  3. Corvin
    Оффлайн

    Corvin Активный пользователь

    Сообщения:
    20
    Симпатии:
    12
    Повторные логи.
     
  4. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('StarWindServiceAE.sys','');
     DeleteFile('StarWindServiceAE.sys');
    BC_ImportAll;
    BC_DeleteSvc('StarWindServiceAE');
    ExecuteSysClean;
    BC_Activate;
    SetAVZGuardStatus(False);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите карантин (файл quarantine.zip из папки AVZ) в тему по ссылке
    Повторите логи.
     
    2 пользователям это понравилось.
  5. Corvin
    Оффлайн

    Corvin Активный пользователь

    Сообщения:
    20
    Симпатии:
    12
    В карантине новых файлов не появилось,но все равно выслал...
    Логи.
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\windows\Logonui.exe','');
     QuarantineFile('C:\Program Files\Godlike Developers\WinTools.net Professional\wintoolspro.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\SivX32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(13);
     ExecuteRepair(19);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к своей теме.


    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    И повторите логи.
     
    2 пользователям это понравилось.
  7. Corvin
    Оффлайн

    Corvin Активный пользователь

    Сообщения:
    20
    Симпатии:
    12
    Malwarebytes' Anti-Malware ничего не обнаружил...карантин получился больше 4 mb. Куда залить?

    Malwarebytes' Anti-Malware 1.40
    Версия базы данных: 2702
    Windows 5.1.2600 Service Pack 3

    27.08.09 13:08:29
    mbam-log-2009-08-27 (13-08-29).txt

    Тип проверки: Полная (C:\|)
    Проверено объектов: 131429
    Прошло времени: 24 minute(s), 42 second(s)

    Заражено процессов в памяти: 0
    Заражено модулей в памяти: 0
    Заражено ключей реестра: 0
    Заражено значений реестра: 0
    Заражено параметров реестра: 0
    Заражено папок: 0
    Заражено файлов: 0

    Заражено процессов в памяти:
    (Вредоносные программы не обнаружены)

    Заражено модулей в памяти:
    (Вредоносные программы не обнаружены)

    Заражено ключей реестра:
    (Вредоносные программы не обнаружены)

    Заражено значений реестра:
    (Вредоносные программы не обнаружены)

    Заражено параметров реестра:
    (Вредоносные программы не обнаружены)

    Заражено папок:
    (Вредоносные программы не обнаружены)

    Заражено файлов:
    (Вредоносные программы не обнаружены)
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
     
  9. Corvin
    Оффлайн

    Corvin Активный пользователь

    Сообщения:
    20
    Симпатии:
    12
    Отправил.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    В карантине ничего интересного. Ничего вредоносного я не вижу.
     
    2 пользователям это понравилось.
  11. Corvin
    Оффлайн

    Corvin Активный пользователь

    Сообщения:
    20
    Симпатии:
    12
    Ясно,спасибо. В кабинете было два компютера,и на обоих такие симптомы...Эксперементировал с первым.Антивирусы и всевозможные антивирусные утилиты,ничего не обнаружили...на обоих компютерах теже симптомы что писал в шапке темы,запустил osam autorun manager,вот скриншот:[​IMG]при каждой перезагрузке имя драйвера меняется,а также драйвер скрытый,что натолкнуло на мысль создать эту тему...Удалил почти весь софт с компютера и по максимуму почистил систему,все равно драйвер появлялся.AVG Anti rootkit находит его и пишет что это руткит,но без толку...В итоге на первом PC переустановил OC,больше таких симптомов не наблюдается.Второй компютер специально не трогал,чтобы выяснить с вашей помощю,что это за призрак...Наверное ложная тревога,спасибо еще раз за ваше участие.
     
    Последнее редактирование: 28 авг 2009
Статус темы:
Закрыта.

Поделиться этой страницей