Решена Подозрение на руткит. TCPRoute

Тема в разделе "Лечение компьютерных вирусов", создана пользователем fixrootkit, 22 апр 2011.

Статус темы:
Закрыта.
  1. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Здравствуйте,
    Подцепил какуюто заразу - не дает запускать браузеры (через раз включаются), блокирует сайты с АВ, не дает запустить Mbam, AVZ, hijackthis, combofix и т.д.

    В безопасном режиме получилось запустить переименованый hijackthis (лог приложил), а так же получилось инатслировать Malwarebytes (лог тоже приложил), который нашел нечто TCPRoute.Hijack.

    После удаления этой заразы Malwarebytes предложил перезагрузится, а после перезагрузки всё вернулось обратно. И теперь, как я не пытался файлы переименовывать - Mbam, hijackthis, AVZ, combofix не запускаются.

    Пробовал tdsskiller в безопасном режиме - ничего не находит.

    Помогите пожалуйста советом. Буду очень признателен.

    PS. К инфицированному компу я подсоединяюсь дистанционно через TeamViewer
     

    Вложения:

  2. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    fixrootkit, здравствуйте.
    Воспользуйтесь для сбора логов Полиморфным AVZ

    либо запустить AVZ с ключом: avz.exe ag=y (пуск - выполнить в обзоре найдите AVZ, выберете его, далее, в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок)
     
  3. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Спасибо за ответ!
    Но AVZ все равно не запускается (ни полиморфная версия ни обычная).
    Пробовал переименовывать файлы по разному, а так же запускать с параметрами AM=Y и AG=Y.

    Нет ли еще идей как побороть эту проблему? Заранее благодарен!
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
  5. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Перепробовал все 3 (каждый раз ребутил комп перед новой попыткой)
    Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...
     
  6. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Запустите Диспетчер задач, во вкладке Процессы отметьте процесс Explorer.exe и нажмите Завершить процесс. Перейдите на вкладку Приложения, нажмите Новая задача и через Обзор укажите расположение AVZ - Ok. Запустится AVZ.

    • Выполните скрипт AVZ

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\WINDOWS\apppatch\apkhjsm.dat','');
    DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(20);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    • После перезагрузки выполните такой скрипт:

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

    Сделайте логи AVZ и лог RSIT

    Добавлено через 4 минуты 1 секунду
    Также прикрепите новый лог полного сканирования MBAM.
     
    Последнее редактирование: 22 апр 2011
    2 пользователям это понравилось.
  7. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Спасибо! Получилось запустить AVZ Вашим способом (пользовался полиморфным AVZ, предложенный Sfera)

    Следуя вашим инструкциям, отправил quarantine.zip по указанной ссылке.
    Затем просканировал систему AVZ, RSIT и MBAM (нашел 4 инфицированных объекта, 2 из которых: winlogon.exe - это исталяшка MBAM, svchost.pif - полиморфный AVZ)
    Все 3 лога приложил.

    Какие действия следует предпринять теперь? Спасибо заранее.
     

    Вложения:

  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    ее задача отключить вредоносные процессы и являться "защитой" для ComboFix.
     
  9. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Я не спорю с этим - просто ComboFix так и не запустился на тот момент.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    ок.

    Лог AVZ не тот который нужен. Нам нужны файлы:
    Которые хранятся в папке AVZ=>Log.
     
  11. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Пардон, приложил нужные.
     

    Вложения:

    Последнее редактирование модератором: 22 апр 2011
  12. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Отключите защитное ПО (Антивирус/Файерволл).
    • Выполните скрипт AVZ

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
    DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.
     
    Последнее редактирование: 22 апр 2011
  13. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Вдруг нужно еще, то вот старый virusinfo_syscheck.zip
    А сейчас буду следовать Вашим инструкциям, zirreX.
     

    Вложения:

  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Старый не нужен, нужен новый лог.
     
  15. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Выполнение скрипта привело к экрану смерти. После перезагрузки сделал новые логи. Прикрепил к этому посту - может все таки чтото скрипт успел сделать нужное?
     

    Вложения:

  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Скрипт отработал. Теперь подготовьте лог Combofix.
     
    1 человеку нравится это.
  17. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Повторно запустил скрипт от zirreX (пост 12)
    на этот раз система корректно перезагрузилась. Логи AVZ прилогаются.
     

    Вложения:

  18. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Сорри, не заметил Ваш ответ. Сейчас займусь Combofix...
     
  19. fixrootkit
    Оффлайн

    fixrootkit Активный пользователь

    Сообщения:
    14
    Симпатии:
    0
    Готов лог ComboFix, программа отработала нормально, только ругнулась на Stage_3 - я не записал по глупости сообщение (
    И планово перезагрузился комп. Вобщем лог прилогаю.

    Подскажите что дальше? Спасибо!
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      9,2 КБ
      Просмотров:
      4
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Проверьте на www.virustotal.com ссылку на результат запостите
    c:\windows\regedit.exe

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    FileLook::
    c:\windows\system32\FsUsbExDisk.SYS

     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
Статус темы:
Закрыта.

Поделиться этой страницей