• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подозрение на руткит. TCPRoute

Статус
В этой теме нельзя размещать новые ответы.

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#1
Здравствуйте,
Подцепил какуюто заразу - не дает запускать браузеры (через раз включаются), блокирует сайты с АВ, не дает запустить Mbam, AVZ, hijackthis, combofix и т.д.

В безопасном режиме получилось запустить переименованый hijackthis (лог приложил), а так же получилось инатслировать Malwarebytes (лог тоже приложил), который нашел нечто TCPRoute.Hijack.

После удаления этой заразы Malwarebytes предложил перезагрузится, а после перезагрузки всё вернулось обратно. И теперь, как я не пытался файлы переименовывать - Mbam, hijackthis, AVZ, combofix не запускаются.

Пробовал tdsskiller в безопасном режиме - ничего не находит.

Помогите пожалуйста советом. Буду очень признателен.

PS. К инфицированному компу я подсоединяюсь дистанционно через TeamViewer
 

Вложения

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Симпатии
4,800
#2
fixrootkit, здравствуйте.
Воспользуйтесь для сбора логов Полиморфным AVZ

либо запустить AVZ с ключом: avz.exe ag=y (пуск - выполнить в обзоре найдите AVZ, выберете его, далее, в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок)
 

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#3
Спасибо за ответ!
Но AVZ все равно не запускается (ни полиморфная версия ни обычная).
Пробовал переименовывать файлы по разному, а так же запускать с параметрами AM=Y и AG=Y.

Нет ли еще идей как побороть эту проблему? Заранее благодарен!
 

akok

Команда форума
Администратор
Сообщения
14,582
Симпатии
12,054
#4

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#5
Хорошо давайте так:

скачайте один из этих файлов:
....exe.
Перепробовал все 3 (каждый раз ребутил комп перед новой попыткой)
Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...
 

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
#6
Запустите Диспетчер задач, во вкладке Процессы отметьте процесс Explorer.exe и нажмите Завершить процесс. Перейдите на вкладку Приложения, нажмите Новая задача и через Обзор укажите расположение AVZ - Ok. Запустится AVZ.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\apppatch\apkhjsm.dat','');
DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте логи AVZ и лог RSIT

Добавлено через 4 минуты 1 секунду
Также прикрепите новый лог полного сканирования MBAM.
 
Последнее редактирование:

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#7
Спасибо! Получилось запустить AVZ Вашим способом (пользовался полиморфным AVZ, предложенный Sfera)

Следуя вашим инструкциям, отправил quarantine.zip по указанной ссылке.
Затем просканировал систему AVZ, RSIT и MBAM (нашел 4 инфицированных объекта, 2 из которых: winlogon.exe - это исталяшка MBAM, svchost.pif - полиморфный AVZ)
Все 3 лога приложил.

Какие действия следует предпринять теперь? Спасибо заранее.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,582
Симпатии
12,054
#8
Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...
ее задача отключить вредоносные процессы и являться "защитой" для ComboFix.
 

akok

Команда форума
Администратор
Сообщения
14,582
Симпатии
12,054
#10
ок.

Лог AVZ не тот который нужен. Нам нужны файлы:
virusinfo_syscure.zip, virusinfo_syscheck.zip
Которые хранятся в папке AVZ=>Log.
 

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#11

Вложения

Последнее редактирование модератором:

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
#12
Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.
 
Последнее редактирование:

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#13
Вдруг нужно еще, то вот старый virusinfo_syscheck.zip
А сейчас буду следовать Вашим инструкциям, zirreX.
 

Вложения

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#15
Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.
Выполнение скрипта привело к экрану смерти. После перезагрузки сделал новые логи. Прикрепил к этому посту - может все таки чтото скрипт успел сделать нужное?
 

Вложения

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#17
Повторно запустил скрипт от zirreX (пост 12)
на этот раз система корректно перезагрузилась. Логи AVZ прилогаются.
 

Вложения

fixrootkit

Активный пользователь
Сообщения
14
Симпатии
0
#19
Готов лог ComboFix, программа отработала нормально, только ругнулась на Stage_3 - я не записал по глупости сообщение (
И планово перезагрузился комп. Вобщем лог прилогаю.

Подскажите что дальше? Спасибо!
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,582
Симпатии
12,054
#20
Проверьте на www.virustotal.com ссылку на результат запостите
c:\windows\regedit.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
FileLook::
c:\windows\system32\FsUsbExDisk.SYS
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу