• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на руткит. TCPRoute

Статус
В этой теме нельзя размещать новые ответы.

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Здравствуйте,
Подцепил какуюто заразу - не дает запускать браузеры (через раз включаются), блокирует сайты с АВ, не дает запустить Mbam, AVZ, hijackthis, combofix и т.д.

В безопасном режиме получилось запустить переименованый hijackthis (лог приложил), а так же получилось инатслировать Malwarebytes (лог тоже приложил), который нашел нечто TCPRoute.Hijack.

После удаления этой заразы Malwarebytes предложил перезагрузится, а после перезагрузки всё вернулось обратно. И теперь, как я не пытался файлы переименовывать - Mbam, hijackthis, AVZ, combofix не запускаются.

Пробовал tdsskiller в безопасном режиме - ничего не находит.

Помогите пожалуйста советом. Буду очень признателен.

PS. К инфицированному компу я подсоединяюсь дистанционно через TeamViewer
 

Вложения

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
fixrootkit, здравствуйте.
Воспользуйтесь для сбора логов Полиморфным AVZ

либо запустить AVZ с ключом: avz.exe ag=y (пуск - выполнить в обзоре найдите AVZ, выберете его, далее, в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок)
 

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Спасибо за ответ!
Но AVZ все равно не запускается (ни полиморфная версия ни обычная).
Пробовал переименовывать файлы по разному, а так же запускать с параметрами AM=Y и AG=Y.

Нет ли еще идей как побороть эту проблему? Заранее благодарен!
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Хорошо давайте так:

скачайте один из этих файлов:
....exe.
Перепробовал все 3 (каждый раз ребутил комп перед новой попыткой)
Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...
 

zirreX

Ассоциация VN
Сообщения
733
Реакции
336
Баллы
453
Запустите Диспетчер задач, во вкладке Процессы отметьте процесс Explorer.exe и нажмите Завершить процесс. Перейдите на вкладку Приложения, нажмите Новая задача и через Обзор укажите расположение AVZ - Ok. Запустится AVZ.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\apppatch\apkhjsm.dat','');
DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте логи AVZ и лог RSIT

Добавлено через 4 минуты 1 секунду
Также прикрепите новый лог полного сканирования MBAM.
 
Последнее редактирование:

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Спасибо! Получилось запустить AVZ Вашим способом (пользовался полиморфным AVZ, предложенный Sfera)

Следуя вашим инструкциям, отправил quarantine.zip по указанной ссылке.
Затем просканировал систему AVZ, RSIT и MBAM (нашел 4 инфицированных объекта, 2 из которых: winlogon.exe - это исталяшка MBAM, svchost.pif - полиморфный AVZ)
Все 3 лога приложил.

Какие действия следует предпринять теперь? Спасибо заранее.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...
ее задача отключить вредоносные процессы и являться "защитой" для ComboFix.
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
ок.

Лог AVZ не тот который нужен. Нам нужны файлы:
virusinfo_syscure.zip, virusinfo_syscheck.zip
Которые хранятся в папке AVZ=>Log.
 

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391

Вложения

Последнее редактирование модератором:

zirreX

Ассоциация VN
Сообщения
733
Реакции
336
Баллы
453
Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.
 
Последнее редактирование:

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Вдруг нужно еще, то вот старый virusinfo_syscheck.zip
А сейчас буду следовать Вашим инструкциям, zirreX.
 

Вложения

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.
Выполнение скрипта привело к экрану смерти. После перезагрузки сделал новые логи. Прикрепил к этому посту - может все таки чтото скрипт успел сделать нужное?
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Скрипт отработал. Теперь подготовьте лог Combofix.
 

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Повторно запустил скрипт от zirreX (пост 12)
на этот раз система корректно перезагрузилась. Логи AVZ прилогаются.
 

Вложения

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Готов лог ComboFix, программа отработала нормально, только ругнулась на Stage_3 - я не записал по глупости сообщение (
И планово перезагрузился комп. Вобщем лог прилогаю.

Подскажите что дальше? Спасибо!
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Проверьте на www.virustotal.com ссылку на результат запостите
c:\windows\regedit.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
FileLook::
c:\windows\system32\FsUsbExDisk.SYS
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу