Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Активное заражение RootKit

Steel Rain

Автор Steel Rain
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Steel Rain Продвинутый

Steel Rain

Опубликовано
Опубликовано

Всем доброго времени суток.

 

На машинке Win XP prof. При проверке avz выдает кучу ошибок приложения cldapp.exe, которое, якобы, драйвер клавиатуры и лежит в ProgrammFiles. При этом не создается лог syscure. Так же показывает подозрение на RootKit практически во всех активных процессах. Подскажите пожалуйста как аккуратно извести зловреда, боюсь систему порушить.

hijackthis.log

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано

Пофиксил. Удалил, на всякий случай файлик cldapp.exe. После этого удалось сделать все логи. Посмотрите пожалуйста. Ничего нет?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. Не буду плодить темы, ещё один болезный. Симптомы такие: после подключения к интернету через некоторое время перестает обрабатывать запросы. Т.е. соединение показывает что есть, а страницы не открывает и ничего не пингует. При проверке avz обнаружил Trojan.Win32.Swisyn.akxb где то в system32. Вроде бы успешно удалил, но проблема осталась. Посмотрите пожалуйста, в чем дело. Вот логи:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('C:\WINDOWS\system32\ntos.exe');
TerminateProcessByName('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe');
TerminateProcessByName('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
O24 - Desktop Component 0: (no name) - (no file)

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Воспользуйтесь рекомендациями из данной статьи (проверьте систему zbotkiller'ом )

http://support.kaspersky.ru/faq/?qid=208636281

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Tofu12
      Удаление bootkit/rootkit и остальных бэкдоров
      Автор Tofu12
      Нужна информация по удалению bootkit/rootkit и в частности о том как еще прошить клавиатуру и мышку, для удаления вредоносного кода на уровне прошивки, а так же ссылки на прошивку. Результаты в гугле на эту тему нулевые почти. Есть какие нибудь физические организации которые помогаю с устранение взломанных устройств 

      клавиатура: ardor gaming wakizashi - Как ее перевести в режим прошивки 
      мышь: ardor gaming exile - Как ее перевести в режим прошивки 
      Сообщение от модератора thyrex Переехали в более подходящий раздел
    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • velykov
      Активность Trojan.Encoder.37448
      Автор velykov
      Здравствуйте, возможно ли расшифровать данные предположительно после Trojan.Encoder.37448, судя по всему что-то в размере 1кб дописано в каждый файл, расширения у всех офисных файлов, картинок стали с расширением *.1cxz рядом лежит файл #HowToRecover.txt с содержимым:
       
       
      Есть пример зашифрованных стандартных картинок, например хризантема и в зип архиве пример зашифрованного файла. Иконка у зашифрованного файла в виде черного символа биткойна.

      #HowToRecover.txt t8TcrwidL6.zip
      Addition.txt FRST.txt
    • sfunlimit
      KSC - Доверенные процессы: Кнопка "Добавить" не активна
      Автор sfunlimit
      Добрый день, 
      Есть политика, Kaspersky Security Center для Windows Server - Вкладка "Дополнительные возможности" - Пункт "Доверенная зона" - во вкладке "Доверенные процессы" кнопка "добавить" не активна. В то же время, кнопка "добавить" во вкладке "Исключения" активна.
       
      В чем может быть проблема?


       
×
×
  • Создать...