|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Подозрение на руткит: скрытая служба, неизвестное устройство, BSODы. |
|
|
[решено] Подозрение на руткит: скрытая служба, неизвестное устройство, BSODы.
|
Старожил Сообщения: 392 |
Профиль | Отправить PM | Цитировать
Здравствуйте, уважаемые хелперы. Прошу вашей помощи.
Подхватил что-то серьезное (предполагаю, из-за того, что брат иногда отключал файерволл Online Armor - я поленился сразу настроить его под Fallout3 ). Когда - не знаю; заметил сегодня, когда при быстром сканировании CureIt'ом выдало ошибку и сканер закрылся (при этом сказав, что обнаружил вирус, и выдав непонятные мне данные RC=3221225477). Решил просканироваться GMER'oм, несколько раз во время проверки случался BSOD, в безопасном режиме тоже. (Может, правда, это было из-за Rootkit Revealer'a , не знаю...) GMER обнаружил скрытую службу, использующую svchost.exe, имя драйвера состояло из бессмысленного набора букв (что-то вроде "esvfmmni.sys"); также были записи в разделах HKLM\SYSTEM\CurrentControlSet\Services, там был указан пусть к dll-файлу (имя тоже произвольное). Поиском такого файла не нашел, драйвера подозрительной службы тоже. Тут уж я, извините, занялся самолечением: снес скрытую службу в надежде, что работа компа станет постабильнее. По крайней мере, BSOD случился после завершения сканирования GMER'ом, лог прикрепляю ( ничего, касающегося скрытой службы, программа теперь не нашла..). Сейчас снова провел быструю проверку CureIt'ом, - никаких ошибок не произошло. И вирусов не нашел (RC=160). |
|
------- Отправлено: 19:17, 17-12-2009 |
скептик-оптимист Сообщения: 5718
|
Профиль | Отправить PM | Цитировать • Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. В хост-файл вы занесли столько адресов(несколько сотен) ? |
------- Последний раз редактировалось iskander-k, 17-12-2009 в 20:06. Отправлено: 19:50, 17-12-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Paul-SFL:
Цитата Paul-SFL:
Файл Hosts вами правлен. Вы прописывали адреса? |
||
------- Отправлено: 20:03, 17-12-2009 | #3 |
скептик-оптимист Сообщения: 5718
|
Профиль | Отправить PM | Цитировать
* Подробнее можно прочитать в этой теме. • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('RegMonitorEx'); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\DOGIUNJHW.exe',''); QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\GPJKYR.exe',''); QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\NGGYV.exe',''); QuarantineFile('C:\Program Files\WinPcap\rpcapd.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\litdpl.sys',''); QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\esihdrv.sys',''); QuarantineFile('H:\Fxdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\mondrv.sys',''); QuarantineFile('C:\WINDOWS\system32\SVKP.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\TDIMSYS.SYS',''); QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\TwmXlCor.sys',''); QuarantineFile('ultra.sys',''); QuarantineFile('spaf.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\mondrv.sys'); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('RegMonitorEx'); BC_Activate; RebootWindows(true); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. • HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q= R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=%s O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) |
------- Отправлено: 20:11, 17-12-2009 | #4 |
Старожил Сообщения: 392
|
Профиль | Отправить PM | Цитировать Drongo, у меня архив нормально открывается. 7-Zip'ом паковал, - может, в этом проблема? Логи в .txt выкладываю.
В hosts записи добавлял Spybot S&D. iskander-k, MBAM ничего не нашел. Сейчас выполню лечение и сделаю новые логи AVZ и HJT. GMER'ом или еще чем делать? |
|
------- Последний раз редактировалось paulkorotoon, 10-03-2010 в 17:17. Отправлено: 21:50, 17-12-2009 | #5 |
Старожил Сообщения: 392
|
Профиль | Отправить PM | Цитировать Все выполнил.
Правда, Advanced Launcher заглючил, переустановлю потом .. Сейчас подготовлю логи. Да, кстати, svchost.exe (1 из 5) сейчас что-то непривычно много ресурсов потребляет: 3-8 % нагрузки на ЦП и 21 Мб памяти.. |
------- Последний раз редактировалось paulkorotoon, 10-03-2010 в 17:18. Отправлено: 22:18, 17-12-2009 | #6 |
Старожил Сообщения: 392
|
Профиль | Отправить PM | Цитировать Не, извините, логи только завтра выложу, щас не могу..
|
------- Последний раз редактировалось paulkorotoon, 18-12-2009 в 16:20. Отправлено: 22:39, 17-12-2009 | #7 |
Старожил Сообщения: 392
|
Профиль | Отправить PM | Цитировать Ответ из антивирусной лаборатории:
Цитата:
|
|
------- Отправлено: 23:31, 17-12-2009 | #8 |
Старожил Сообщения: 392
|
Профиль | Отправить PM | Цитировать Новые логи:
|
------- Последний раз редактировалось paulkorotoon, 10-03-2010 в 17:17. Отправлено: 16:22, 18-12-2009 | #9 |
скептик-оптимист Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Цитата Paul-SFL:
|
|
------- Отправлено: 17:10, 18-12-2009 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Постоянные BSODы, есть подозрение на материнку (либо в биосе что то не так). | kyler | Материнские платы и память | 16 | 29-07-2011 10:07 | |
[решено] Висит неизвестное устройство. | LINCOLN | Непонятные проблемы с Железом | 7 | 01-02-2009 19:36 | |
Неизвестное устройство | Andrey N. | Поиск драйверов, прошивок и руководств | 3 | 18-06-2008 06:12 | |
Неизвестное устройство | akshara | Microsoft Windows 2000/XP | 9 | 30-04-2008 16:49 | |
Неизвестное устройство!! | E-xtrima-L | Microsoft Windows 2000/XP | 20 | 04-02-2006 13:34 |
|