|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Антивирусы - [решено] Новый руткит? |
|
|
Антивирусы - [решено] Новый руткит?
|
|
Старожил Сообщения: 251 |
Выключает Касперского 2009 с последними базами, не даёт запускаться ТДСС-киллеру от ЛК, периодически появляется окно с предупреждением о перезагрузке Виндоуз ХР СП3 Рус + апдейты. Последний КомбоФикс сообщает о наличии руткита, но после его работы ситуация не меняется. Лог Гмера:
Код:
 GMER 1.0.15.15530 - http://www.gmer.net Rootkit scan 2011-03-01 14:54:38 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST9160821A rev.3.ALA Running: gmer.exe; Driver: c:\Temp\pxtdqpow.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7FC5360, 0x33AACD, 0xE8000020] ? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Не удается найти указанный файл. ! ? C:\ComboFix\catchme.sys Системе не удается найти указанный путь. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Не удается найти указанный файл. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtCreateFile 7C90D0AE 5 Bytes JMP 6340FDC0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider) .text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtFlushKey 7C90D34E 5 Bytes JMP 6340FCB0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider) .text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtOpenFile 7C90D59E 5 Bytes JMP 63411BF0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider) .text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtSetInformationFile 7C90DC5E 5 Bytes JMP 63411CA0 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider) .text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtUnloadKey 7C90DECE 5 Bytes JMP 6340E520 c:\windows\system32\uphclean.dll (User Profile Hive Cleanup Service/Windows (R) Codename Longhorn DDK provider) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\30\4\32\4-\0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\30\4\32\4-\0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2? ---- EOF - GMER 1.0.15 ---- |
|
|
Отправлено: 16:15, 01-03-2011 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Цитата onkolog:
Цитата:
Это от комбофикса Цитата onkolog:
а это от Sysinternals Process Explorer Цитата onkolog:
|
||||
|
------- Отправлено: 19:11, 01-03-2011 | #2 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать Цитата onkolog:
|
|
|
------- Отправлено: 13:05, 03-03-2011 | #3 |
|
Старожил Сообщения: 251
|
Профиль | Отправить PM | Цитировать К сожалению, не было времени разбираться с руткитом. Пришлось переустановить систему.
|
|
Отправлено: 23:09, 03-03-2011 | #4 |
|
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать Тогда и обсуждать нечего, информации нет, а остальное это гадание на кофейной гущи. Тема закрыта.
|
|
|
------- Отправлено: 01:14, 04-03-2011 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] руткит services | seman | Лечение систем от вредоносных программ | 6 | 03-12-2010 07:27 | |
| [решено] Руткит igdes | seman | Лечение систем от вредоносных программ | 7 | 10-09-2010 21:01 | |
| Помогите побороть руткит... | uptk | Лечение систем от вредоносных программ | 1 | 31-03-2010 16:16 | |
| Руткит | zongo | Лечение систем от вредоносных программ | 1 | 08-09-2009 11:47 | |
| Руткит активность ??? | Barit | Защита компьютерных систем | 6 | 16-11-2007 02:53 | |
|
|
Время: 21:53. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
