Решена Подозрение на руткит. TCPRoute

Статус
В этой теме нельзя размещать новые ответы.

fixrootkit

Новый пользователь
Сообщения
14
Реакции
0
Здравствуйте,
Подцепил какуюто заразу - не дает запускать браузеры (через раз включаются), блокирует сайты с АВ, не дает запустить Mbam, AVZ, hijackthis, combofix и т.д.

В безопасном режиме получилось запустить переименованый hijackthis (лог приложил), а так же получилось инатслировать Malwarebytes (лог тоже приложил), который нашел нечто TCPRoute.Hijack.

После удаления этой заразы Malwarebytes предложил перезагрузится, а после перезагрузки всё вернулось обратно. И теперь, как я не пытался файлы переименовывать - Mbam, hijackthis, AVZ, combofix не запускаются.

Пробовал tdsskiller в безопасном режиме - ничего не находит.

Помогите пожалуйста советом. Буду очень признателен.

PS. К инфицированному компу я подсоединяюсь дистанционно через TeamViewer
 

Вложения

  • hijackthis.log
    6.2 KB · Просмотры: 8
  • mbam-log-2011-04-21 (21-58-08).txt
    44 KB · Просмотры: 4
fixrootkit, здравствуйте.
Воспользуйтесь для сбора логов Полиморфным AVZ

либо запустить AVZ с ключом: avz.exe ag=y (пуск - выполнить в обзоре найдите AVZ, выберете его, далее, в строке допишите или скопируйте вставьте (через пробел) AM=Y и нажмите ок)
 
Спасибо за ответ!
Но AVZ все равно не запускается (ни полиморфная версия ни обычная).
Пробовал переименовывать файлы по разному, а так же запускать с параметрами AM=Y и AG=Y.

Нет ли еще идей как побороть эту проблему? Заранее благодарен!
 
Хорошо давайте так:

скачайте один из этих файлов:
....exe.

Перепробовал все 3 (каждый раз ребутил комп перед новой попыткой)
Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...
 
Запустите Диспетчер задач, во вкладке Процессы отметьте процесс Explorer.exe и нажмите Завершить процесс. Перейдите на вкладку Приложения, нажмите Новая задача и через Обзор укажите расположение AVZ - Ok. Запустится AVZ.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\apppatch\apkhjsm.dat','');
DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте логи AVZ и лог RSIT

Добавлено через 4 минуты 1 секунду
Также прикрепите новый лог полного сканирования MBAM.
 
Последнее редактирование:
Спасибо! Получилось запустить AVZ Вашим способом (пользовался полиморфным AVZ, предложенный Sfera)

Следуя вашим инструкциям, отправил quarantine.zip по указанной ссылке.
Затем просканировал систему AVZ, RSIT и MBAM (нашел 4 инфицированных объекта, 2 из которых: winlogon.exe - это исталяшка MBAM, svchost.pif - полиморфный AVZ)
Все 3 лога приложил.

Какие действия следует предпринять теперь? Спасибо заранее.
 

Вложения

  • avz_log.txt
    6.8 KB · Просмотры: 2
  • mbam-log-2011-04-22 (17-07-23).txt
    1.5 KB · Просмотры: 2
  • RSIT_log.txt
    18.5 KB · Просмотры: 3
Програмка вырубает TeamViewer но ничего больше не делает - ну т.е. не запускается по сути тоже...
ее задача отключить вредоносные процессы и являться "защитой" для ComboFix.
 
ок.

Лог AVZ не тот который нужен. Нам нужны файлы:
virusinfo_syscure.zip, virusinfo_syscheck.zip
Которые хранятся в папке AVZ=>Log.
 

Вложения

  • virusinfo_syscure.zip
    20.7 KB · Просмотры: 4
Последнее редактирование модератором:
Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\apppatch\apkhjsm.dat');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.
 
Последнее редактирование:
Вдруг нужно еще, то вот старый virusinfo_syscheck.zip
А сейчас буду следовать Вашим инструкциям, zirreX.
 

Вложения

  • virusinfo_syscheck.zip
    20.8 KB · Просмотры: 0
Отключите защитное ПО (Антивирус/Файерволл).
• Выполните скрипт AVZ

После выполнения скрипта компьютер перезагрузится!

Подготовьте новые логи AVZ. Прикрепите архивы virusinfo_syscheck.zip и virusinfo_syscure.zip к вашему сообщению.

Выполнение скрипта привело к экрану смерти. После перезагрузки сделал новые логи. Прикрепил к этому посту - может все таки чтото скрипт успел сделать нужное?
 

Вложения

  • virusinfo_syscheck.zip
    19.7 KB · Просмотры: 2
  • virusinfo_syscure.zip
    19.8 KB · Просмотры: 2
Скрипт отработал. Теперь подготовьте лог Combofix.
 
Повторно запустил скрипт от zirreX (пост 12)
на этот раз система корректно перезагрузилась. Логи AVZ прилогаются.
 

Вложения

  • virusinfo_syscheck.zip
    19.6 KB · Просмотры: 0
  • virusinfo_syscure.zip
    19.8 KB · Просмотры: 0
Готов лог ComboFix, программа отработала нормально, только ругнулась на Stage_3 - я не записал по глупости сообщение (
И планово перезагрузился комп. Вобщем лог прилогаю.

Подскажите что дальше? Спасибо!
 

Вложения

  • ComboFix.txt
    9.2 KB · Просмотры: 4
Проверьте на www.virustotal.com ссылку на результат запостите
c:\windows\regedit.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
FileLook::
c:\windows\system32\FsUsbExDisk.SYS
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу