Есть подозрение на RootKit

9 февраля, 2009

Уважаемые коллеги!

Вынужден вторично запросить у Вас помощи!

- notebook FSC Pentium M 1.7 1Gb RAM HDD 80Gb MS Windows XP Home edition 2002 SP2 rus

KAV 7.0.1.325 + DrWeb Cure It + AntiMalware

1. KAV поймал какую-то дрянь и забил ее. После этого ПК стал несанкционированно перегружаться.

Провел откат системы на 10 дней назад.

2. проверил систему доктором в безопасном режиме и каспером - чисто. AntiMalware в безопасном режиме - что-то нашел

нужна помощь, заранее благодарю

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

9 февраля, 2009

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\sm56hlpr.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните следующий скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите.

Изменено 9 февраля, 2009 пользователем Falcon

9 февраля, 2009

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Изменено 9 февраля, 2009 пользователем akoK

10 февраля, 2009

В аттаче лог-файлы после лечения

to akoK

результат после 2 применения процесса

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

========== REGISTRY ==========

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\cch~38d5e75f.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38d5ef22.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38d6bfec.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38d6c7d2.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38da5a34.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38daa197.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38db453d.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38db501e.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38dbe621.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~38dbee3c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~391a4ccb.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~391a59d1.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3a433f53.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3a434f0c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ca9bb2c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ca9cd19.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3caa99e8.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3caac8f7.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd28b38.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd29cfe.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd471af.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3cd47f0c.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3e442fb1.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3e449aaf.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ee300b5.htp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\cch~3ee30dbc.htp scheduled to be deleted on reboot.

Windows Temp folder emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02102009_211620

Есть еще вопросы:

1. в автозапуске есть активная библиотека appmgmts.dll - это безопасно?

2. в system32\drivers есть 2 файла klif.sys и kl1.sys - они тоже меня беспокоят

С уважением

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

10 февраля, 2009

2. в system32\drivers есть 2 файла klif.sys и kl1.sys - они тоже меня беспокоят

Это касперский.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\stmctrl.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

Проблема всё та же? В корзине это ваше? Очистите её.

12 февраля, 2009

Всем привет!

В аттаче логи, вроде все работает.

Благодарю за помощь и внимание!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Есть подозрение на RootKit

Рекомендуемые сообщения

Super

Ссылка на комментарий

Поделиться на другие сайты

Falcon

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

Super

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

Super

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum