|
|
|
|
Невидимый вирус
|
Старожил Сообщения: 245 |
Сегодня система не пустила на сервер. АД заблокировало учетку. Начал разбираться. Пришел к выводу что в сетке сидит вирь, какой неизвестно. В журнале наблюдается явный брут всех учеток из зараженных компьютеров. Эта дрянь сосканила АД на предмет имен и начала брутить.
Дело в том что обнаружить заразу не может ни один антивирь. Ктото сталкивался с таким ? Как ее убить. В диспетчере задач тоже пусто. В процесс експлорере аналогично. Пусто. Поэтому я думаю что этот вирус защищен хуками. Как с этим быть? Посоветуйте чтонибуть. Уже 3 компа отрубил от сетки и не знаю что с ними делать. Спасибо. |
|
|
Отправлено: 09:06, 13-01-2009 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать "Заморозку" ice_time.dll деинсталлируйте
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код:
 :Processes
explorer.exe
:Files
C:\WINDOWS\system32\ice_time.dll
C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb3ca006-cffe-11dd-83f6-0015605625df}]
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb3ca006-cffe-11dd-83f6-0015605625df}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. К сожалению без лога gmer и DDS зловредных сервисов не увидеть, очень странно, что DDS не запустился. Попробуйте сделать логи с помощью RootRepeal и RKU Скачайте IceSword, распакуйте, закройте все остальные программы, запустите IceSword Нажмите вкладку Process. Нажмите на кнопку Log, сохраните лог под именем Process Нажмите вкладку Kernel Module. Нажмите на кнопку Log, сохраните лог под именем Kernel Нажмите вкладку Win32 Services. Нажмите на кнопку Log, сохраните лог под именем Services Нажмите вкладку Startup. Нажмите на кнопку Log, сохраните лог под именем Startup Нажмите вкладку SSDT. Нажмите на кнопку Log, сохраните лог под именем SSDT Нажмите вкладку Message Hooks. Нажмите на кнопку Log, сохраните лог под именем Hooks Запакуйте логи и прикрепите архив. |
|
------- Последний раз редактировалось Pili, 16-01-2009 в 11:25. Отправлено: 10:52, 16-01-2009 | #11 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| НЕвидимый *.CMD | hobbit25 | Автоматическая установка Windows 2000/XP/2003 | 26 | 09-04-2010 01:53 | |
| Прочее - Невидимый компьютер в сети | _Gans_ | Сетевые технологии | 2 | 01-06-2009 18:06 | |
| Видимый и невидимый HDD | R-o-m-a-N | Ноутбуки | 50 | 27-12-2008 18:33 | |
| [решено] Невидимый CD-ROM | malishock | Microsoft Windows 2000/XP | 4 | 27-01-2007 20:30 | |
| Kaspersky стал в программе Remote admin определять вирус - не вирус, почему? | Dionin | Защита компьютерных систем | 5 | 30-03-2005 08:27 | |
|
|
Время: 20:05. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
