48 ответов в этой теме

[s1aer]

Проблемы с сием существом, вот что выдают программы с вики.веб. Вроде бы чистили руткит анхакером, после чистки он ребутнул комп, стандартный веб перед ребутом обнаруживал инфицированный файл, теперь же говорит что все чисто. Посмотрите пожалуйста по логам, убилось это или нет из системы.

PS: руткит анхакер покрамсал много файлов винды, стоит ли сейчас запускать восстановление, если все очищено или нет?
PPS: хайджековский репорт не присоединяется почему-то

Заранее спасибо!

Прикрепленные файлы:

•  Report.txt   36,87К   154 Скачано раз
•  hijack.rar   3,28К   117 Скачано раз

[Borka]

Вроде бы чистили руткит анхакером, после чистки он ребутнул комп, стандартный веб перед ребутом обнаруживал инфицированный файл, теперь же говорит что все чисто.

Хоть бы сказали, что чистили РкУ? В каких файлах Доктор находил трояна?

PS: руткит анхакер покрамсал много файлов винды, стоит ли сейчас запускать восстановление, если все очищено или нет?

Что имеется в виду?

[s1aer]

на первый вопрос:

26-12-2008 01:03:14 [CL] (PID = 4256) C:\Documents and Settings\Михаил\Local Settings\Temp\rdl233.tmp - инфицирован Trojan.NtRootKit.2387
26-12-2008 01:03:28 [CL] (PID = 4256) C:\Documents and Settings\Михаил\Local Settings\Temp\rdl233.tmp - исцелен
26-12-2008 01:06:14 [BG] (PID = 4348) C:\Program Files\DivX\DivX Web Player\npdivx32.dll - ошибка распаковки

26-12-2008 01:10:01 Проверено: 106140
26-12-2008 01:10:01 Исцелено: 1
26-12-2008 01:10:01 Инфицированных: 6
26-12-2008 01:10:01 Удалено: 4
26-12-2008 01:10:01 Модификаций: 0
26-12-2008 01:10:01 Переименовано: 0
26-12-2008 01:10:01 Подозрительных: 0
26-12-2008 01:10:01 Перемещено: 0
26-12-2008 01:10:01 FastMode: 864 files
26-12-2008 01:10:01
26-12-2008 01:10:01 System shutdown (00000000)

после удаления, естественно, все файлы восстанавливаются

[Borka]

Вот достаточно интересные экземпляры, потенциальные суслики:
C:\WINDOWS\System32\Drivers\amybyfq3.SYS
C:\WINDOWS\system32\DRIVERS\DKbFltr.sys
и на всякий случай - этот:
C:\WINDOWS\system32\drivers\sbaphd.sys

Проверьте-ка их на ВирусТотале.

на первый вопрос:

26-12-2008 01:03:14 [CL] (PID = 4256) C:\Documents and Settings\Михаил\Local Settings\Temp\rdl233.tmp - инфицирован Trojan.NtRootKit.2387
26-12-2008 01:03:28 [CL] (PID = 4256) C:\Documents and Settings\Михаил\Local Settings\Temp\rdl233.tmp - исцелен
26-12-2008 01:06:14 [BG] (PID = 4348) C:\Program Files\DivX\DivX Web Player\npdivx32.dll - ошибка распаковки
...

Было бы очень интересно посмотреть, кто в системе жил с PID = 4256 (дроппер трояна) на момент срабатывания спайдера.

после удаления, естественно, все файлы восстанавливаются

Все - это какие? Судя по логу всех было несколько. Каких? Где?

[s1aer]

Было бы очень интересно посмотреть, кто в системе жил с PID = 4256 (дроппер трояна) на момент срабатывания спайдера.

я первый раз юзаю веб, да и вообще первый раз с таким вирусом столкнулся, пожалуйста дайте ссылку каким образом это проверить и что за вирусТотал. Погуглю, почитаю и отпишусь.

репорт от хайджека в первом посте

[Eugeny Gladkih]

я первый раз юзаю веб, да и вообще первый раз с таким вирусом столкнулся, пожалуйста дайте ссылку каким образом это проверить и что за вирусТотал. Погуглю, почитаю и отпишусь.

VirusTotal

это репорт от хайджека, тхт не прикреплялась

пользуйтесь архиватором

[s1aer]

след вопрос: зараженный бук стоит рядом без сети, я пишу со 2го бука, если я скопирую эти файлы на свой бук и отправлю, не заразится ли мой комп, они не в карантине, это во1,

во2: если их поудалял РкУ, что делать?

[s1aer]

библиотек уже нету

[Borka]

след вопрос: зараженный бук стоит рядом без сети, я пишу со 2го бука, если я скопирую эти файлы на свой бук и отправлю, не заразится ли мой комп, они не в карантине, это во1,

Нет, если сами их не запустите.

во2: если их поудалял РкУ, что делать?

"Нет файла - нет проблемы" (с)

библиотек уже нету

Каких библиотек?
Проверьте наличие файла на диске C:\WINDOWS\system32\3FF1F546.exe. Если есть - проверьте Доктором и на ВирусТотале, а затем пофиксите в Хайджеке
O23 - Service: 3FF1F546 - Unknown owner - C:\WINDOWS\system32\3FF1F546.exe (file missing)

[s1aer]

пардон, не библиотек, а sysтемных файлов, вирус пожрал видимо и мой мозг) допроверяем РкУ после всех проделанных операций...

Указанный Вами файл так же отсутствует.

[s1aer]

дабл пост

После всего результаты, стоит ли дальше продолжать искать источник проблемы или все уже чисто?

Прикрепленные файлы:

•  hijackthis.rar   3,23К   120 Скачано раз
•  Report.txt   36,35К   160 Скачано раз

[Borka]

После всего результаты, стоит ли дальше продолжать искать источник проблемы или все уже чисто?

Эти файлы на месте:
C:\WINDOWS\system32\DRIVERS\DKbFltr.sys
C:\WINDOWS\system32\drivers\sbaphd.sys
и эта запись
O23 - Service: 3FF1F546 - Unknown owner - C:\WINDOWS\system32\3FF1F546.exe (file missing)
не пофиксена. Файлы проверили на ВирусТотале?

[s1aer]

Файл sbaphd.sys получен 2008.12.26 23:27:13 (CET)
Текущий статус: закончено
Результат: 0/36 (0.00%)

Файл DKbFltr.SYS получен 2008.12.26 23:29:05 (CET)
Текущий статус: закончено
Результат: 0/39 (0%)

последний так и не найден..

[Borka]

последний так и не найден..

Пофиксите в Хайджеке и повторите сканирование - не появится ли запись снова?

[tehsouz]

Поймал такого же зверя. Удалить не могу, точнее Dr.Web его удаляет, но после перезагрузки опять находит и опять удаляет. Помогите http://forum.drweb.com/public/style_emoticons/default/wink.png

Прикрепленные файлы:

•  logs.rar   7,81К   118 Скачано раз

[Borka]

Поймал такого же зверя. Удалить не могу, точнее Dr.Web его удаляет, но после перезагрузки опять находит и опять удаляет. Помогите http://forum.drweb.com/public/style_emoticons/default/wink.png

Пофиксите в Хайджеке:
O23 - Service: 4C8F7ED6 - Unknown owner - C:\WINDOWS\system32\4C8F7ED6.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)
Найдите файл C:\WINDOWS\system32\4C8F7ED6.exe и зашлите его в Вирлаб.

[tehsouz]

Профиксил

C:\WINDOWS\system32\4C8F7ED6.exe  - просто нет... ну т.е. не вижу его не в безопастном, не с лайв сиди...

было бы все так просто не писал бы....

[Borka]

Профиксил
C:\WINDOWS\system32\4C8F7ED6.exe  - просто нет... ну т.е. не вижу его не в безопастном, не с лайв сиди...
было бы все так просто не писал бы....

Тогда показывайте новые логи.

Да, еще хотелось бы логов спайдера с детектом. И поясннием, кто такой PID=xxxx, который записывает трояна.

[tehsouz]

вот

Прикрепленные файлы:

•  logs.rar   7,55К   105 Скачано раз

[tehsouz]

PID = я так думаю explorer.exe... т.к. пока не вызываешь проводник или не втыкаешь любой флэш - никак себя не проявляет

В безопастном режиме - вообще не проявляется, и сканер не видит ничего ни на одном диске.... перегружаюсь и сразу в темпах длл, и не дай боже воткнуть флэху http://forum.drweb.com/public/style_emoticons/default/smile.png не смешно, но хотелось бы победить...