Перейти к содержанию
СофтФорум - всё о компьютерах и не только

rootkit и компания :(

Takeprofiter
 Поделиться

Рекомендуемые сообщения

Takeprofiter

Takeprofiter

Опубликовано
Опубликовано

Здравствуйте уважаемые!

Недавно поставил винду на комп и решил не заморачиватся с установкой антивирусов, фаерволов.... вобщем какой либо защиты.. наивно полагая что раз уж я по порносайтам не лажу, левых ссылок не открываю, то никакой угрозы нет (( Когда комп стал жутко тормозить то почувствовал неладное и установил свой любимый фаервол Outpost.. когда заглянул в сетевую активность то ужаснулся - там было много исходящих соединений от имени процесса SVHOST на неизвестные серверы, причем когда я отключал кабель интернета, то попытки этих соединений настойчиво продолжались(( так началось мое знакомство со словом rootkit... которое показал мне Outpost при сканировании, заражен был какой то файл в папке Drivers, который был перемещен в карантин и удален... как вы наверно догадались после перезагрузки этот файл появился снова... погуглив немного прочитал кучу инфы о том что такое rootkit и испробовал кучу утилит аля antirootkit от разных фирм и авторов... но все они оказались бесполезными в решении проблемы...

помимо повышенной сетевой активности,перестали работать некоторые программы которые до этого нормально функционировали, но теперь при запуске сразу закрываются с ошибкой и даже переустановка не помогает... :)

еще нашел в процессах странную вещь с названием reader_s.exe .. которая упорно прописывается в автозагрузку сколько ее оттуда не удаляй и всегда висит в процессах сколько ее не завершай :)

все шаги описанные в инструкции вроде бы выполнил верно... д-р Веб нашел кучу троянов и типа их удалил, потом AVZ нашел всю ту же кучу и то же типа их удалил... кстати пробовал решить проблему при помощи AVZ еще до обращения на ваш сайт... логи от первого, второго и т.д. сканирований были одинаковыми - обнаружена куча перехватчиков, некоторые нейтрализованы но есть и пугающие надписи типа "неопознанный перехватчик"... это значит что их не убить??? :)

пока писал сообщение еще и умер Outpost Fierwall которым я пытался хоть как то сдерживать наступление :) :) :)

и чувствую скоро провайдер забанит мне порт за вирусную активность....

помогите пожалуйста,все логи вроде прикрепил :)

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteService('protect');QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');QuarantineFile('C:\WINDOWS\system32\ea82.sys','');DeleteService('44b7F');QuarantineFile('C:\WINDOWS\system32\44b7F.sys','');DeleteService('ethzkjqr');QuarantineFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys','');DeleteFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys');DeleteFile('C:\WINDOWS\system32\44b7F.sys');DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес e548759d5bd6.gif В письме укажите ссылку на тему.

В АВЗ включите AVZPM и повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
Takeprofiter

Takeprofiter

Опубликовано
  • Автор
Опубликовано

выслал письмо с файлом, включил AVZPM и сделал логи так же как в прошлый раз.... судя по ним у меня все без изменений :)

reader_s кажется исчез из процессов, но в автозагрузке этих reader_s.exe уже аж целых три :)

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Takeprofiter

Takeprofiter

Опубликовано
  • Автор
Опубликовано

про reader_s оказывается погорячился ... появился снова и в автозагрузке и в процессах...

фаервол убит но судя по кол-ву отправляемых пакетов я сейчас жестоко спамлю множество серверов :)

не хочу быть спамером :)

интернет работает так как будто у меня не 5мб.с а диалап какой то... странно что провайдер еще не среагировал и меня не забанил....

многие программы не хотят работать.... вобщем умирает мой комп потихоньку... помогите пожалуйста :)

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

C:\WINDOWS\system32\Drivers\NDIS.sys - Virus.Win32.Protector.b

Нужно заменить на чистый из дистрибутива

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Takeprofiter\reader_s.exe','');DeleteFile('C:\Documents and Settings\Takeprofiter\reader_s.exe');DeleteFileMask('C:\Documents and Settings\Takeprofiter\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделать новые логи

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...