Решена Подозрение на наличие RootKit в системе

Статус
В этой теме нельзя размещать новые ответы.

Corvin

Новый пользователь
Сообщения
14
Реакции
1
Здравствуйте!Есть подозрение что в системе затаился RootKit.Компютер работает нормально,на днях правда пришлось восстановить ассоциации REG-файлов,не известно по какой причине они пропали,и заметил слишком быструю загрузку,бутскрина,бегунок пробегает 1раз,хотя до этого от 4 до 7 стандартно(система стоит уже около пол года).
Сомнения появились,когда проследил,что при загрузке,генерируется какой-то драйвер,при чем с каждой новой загрузкой у него новое имя,например aaa05aau.sys...Зарание спасибо.
 
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mkunicode.dll','');
 QuarantineFile('C:\WINDOWS\system32\mmfinfo.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aujasnkj.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\aujasnkj.sys');
 DeleteFile('C:\WINDOWS\system32\mmfinfo.dll');
 DeleteFile('C:\WINDOWS\system32\mkunicode.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите карантин (файл quarantine.zip из папки AVZ) в тему по ссылке

Повторите логи.
 
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
 QuarantineFile('StarWindServiceAE.sys','');
 DeleteFile('StarWindServiceAE.sys');
BC_ImportAll;
BC_DeleteSvc('StarWindServiceAE');
ExecuteSysClean;
BC_Activate;
SetAVZGuardStatus(False);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите карантин (файл quarantine.zip из папки AVZ) в тему по ссылке
Повторите логи.
 
В карантине новых файлов не появилось,но все равно выслал...
Логи.
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\Logonui.exe','');
 QuarantineFile('C:\Program Files\Godlike Developers\WinTools.net Professional\wintoolspro.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\SivX32.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(13);
 ExecuteRepair(19);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив прикрепите к своей теме.


Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

И повторите логи.
 
Malwarebytes' Anti-Malware ничего не обнаружил...карантин получился больше 4 mb. Куда залить?

Malwarebytes' Anti-Malware 1.40
Версия базы данных: 2702
Windows 5.1.2600 Service Pack 3

27.08.09 13:08:29
mbam-log-2009-08-27 (13-08-29).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 131429
Прошло времени: 24 minute(s), 42 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)
 
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
 
В карантине ничего интересного. Ничего вредоносного я не вижу.
 
Ясно,спасибо. В кабинете было два компютера,и на обоих такие симптомы...Эксперементировал с первым.Антивирусы и всевозможные антивирусные утилиты,ничего не обнаружили...на обоих компютерах теже симптомы что писал в шапке темы,запустил osam autorun manager,вот скриншот:при каждой перезагрузке имя драйвера меняется,а также драйвер скрытый,что натолкнуло на мысль создать эту тему...Удалил почти весь софт с компютера и по максимуму почистил систему,все равно драйвер появлялся.AVG Anti rootkit находит его и пишет что это руткит,но без толку...В итоге на первом PC переустановил OC,больше таких симптомов не наблюдается.Второй компютер специально не трогал,чтобы выяснить с вашей помощю,что это за призрак...Наверное ложная тревога,спасибо еще раз за ваше участие.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу