Перейти к содержанию
hunter-12

вирус, скрытый руткитом

Recommended Posts

hunter-12

поймал вирус, антивирь не видит, действия руткита идут из sptd.sys и еще откуда-то

logs.zip

logs.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
поймал вирус, антивирь не видит, действия руткита идут из sptd.sys и еще откуда-то

sptd.sys -- это нормально. Используется установленной у вас программой Alcohol 120%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

K_Mikhail

вы уверены, что он должен чтото менять? посмотрите логи, там еще uphclean....sys что то делает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

вы уверены, что он должен чтото менять?

На счёт sptd.sys абсолютно уверен.

посмотрите логи, там еще uphclean....sys что то делает

Файлы C:\WINDOWS\system32\uphclean.exe и C:\WINDOWS\system32\drivers\uphclean.sys можно проверить на http://virustotal.com, хотя почти уверен, что это Microsoft User Profile Hive Cleanup Service.

UPD:

Скачал себе Microsoft User Profile Hive Cleanup Service, поставил. RootKit Unhooker выдаёт перехват той же функции, что и у вас в логе Report.txt:

===

NtUnloadKey

Actual Address 0xF5C0F6D0

Hooked by: C:\WINDOWS\system32\Drivers\uphcleanhlp.sys

===

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

значит руткитов у мну нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
значит руткитов у мну нет?

Вредоносных -- нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

спасибо, обнадежили, только как вирус удалить, если его антивирь не видит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
спасибо, обнадежили, только как вирус удалить, если его антивирь не видит?

Какой из них не видит? Установленный у Вас NOD32?

Из лога Dr.Web CureIt!:

===

C:\Documents and Settings\Admin\Мои документы\Мои файлы\kolibri_ru\HD_load\9x2klbr\9x2klbr.exe инфицирован Trojan.Click1.3666 - отказ от лечения

===

с последующим

===

C:\Documents and Settings\Admin\Мои документы\Мои файлы\kolibri_ru\HD_load\9x2klbr\9x2klbr.exe - неизлечим - удален

===

Т.е. Вы удалили обнаруженный вредоносный код не сразу по запросу сканера на лечение, а по окончании самого процесса сканирования Dr.Web CureIt!.

Файлы C:\WINDOWS\system32\uphclean.exe, C:\WINDOWS\system32\drivers\uphclean.sys, c:\windows\system32\drivers\sptd.sys и не должны определяться как вредоносные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

нод не видит, вирь етот я скачал уже давно, это прога, незнаю почму там вирь, но я его не запускал никогда, это не изза него

у меня портится память, експлорер глючит, синие экраны переодические, некоторые проги отказываются работать, не работают некоторые службы,втч вин инсталлер, нет большого кол-ва иконок в панели управления, ярлыки не работают, работают только по правой кнопке и т.д., что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
нод не видит, вирь етот я скачал уже давно, это прога, незнаю почму там вирь, но я его не запускал никогда,

Откуда качали, кстати? Можете прямую ссылку привести?

это не изза него

По "проблемным" sptd.sys и uphclean.*, вроде как, разобрались... Других подозрительных мест, по логам, нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

вирь по видимому либо новый, либо портит сигнатуры антивируса

З.Ы. а по вирусу - погуглите по колибриос, но там вроде уже эту прогу не включают, но это наверн не вирь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
вирь по видимому либо новый, либо портит сигнатуры антивируса

Или, как вариант, -- либо его (вируса) просто нет, а есть проблемы, вызванные какими-то конфликтами ПО.

Ещё как вариант -- скиньте мне на m500[at]yandex.ru пару исполняемых файлов, допустим C:\Windows\Explorer.exe, C:\Windows\system32\svchost.exe

З.Ы. а по вирусу - погуглите по колибриос, но там вроде уже эту прогу не включают, но это наверн не вирь

Точное название (латинскими буквами), приведите, пожалуйста. А то из полезного по запросу нашлась лишь операционная система KolibriOS, сделанная на основе MenuetOS. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

уже скидываю, но нод перестал ругаться вообще на что либо , а про колибри это оно и есть, там ее можно скачать и там будет этот файл вместе с ее утилитами, которые с ней в одном архиве лежат )(а может уже и нет утилиты) ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

а еще на другом форуме мне по минидампам сказали, что похоже ктото портит память

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
мне по минидампам сказали, что похоже ктото портит память

Если у вас стоят два модуля памяти (ОЗУ), выключите ПК, выньте один, включите ПК и если загрузится, то поработайте с одним некоторое время. Повторите процедуру с другим модулем. Так можно выявить глючный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

Андрей-001

у мну ноут и еще на гарантии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей-001

у мну ноут и еще на гарантии

Ага, после вгляда на лог я вижу, что у вас ноутбук от ASUS.

Тогда надо немного почистить систему от наставленного.

То, что у вас сейчас - нуждается в кардинальной оптимизиции.

1) Деинсталлировать или отключить в HT все O3 - Toolbar:, в том числе Google Toolbar. Если стоит что-то от Google, то оно устаналивает службу обновления GoogleUpdate. Если в них нет особой нужды, то деинсталлируйте или пофиксите. Избавитесь заодно и от Service: Google.

2) Пофиксите все O2 - BHO:

3) Как для себя, так я бы пофиксил все пункты O4 - HKLM\..\Run: - кроме антивирусного [nod32kui]

Все эти технологии от ATI и ASUS ATK, Gear, а также Adobe, punto и пр. хрень.

Так в автозагрузке у вас останется только модуль антивируса и ctfmon.exe

4) WebMoney пусть запускается только от значка, если вы не производите ежесекундных денежных операций.

Не понял, что за драйвер a8vq3xyg.SYS... Проверьте его через VirusTotal.com

Сейчас получается такая картина, кроме автоматического обновления Windows, у вас работают службы Google, Adobe, ATI, ASUS, WebMoney, Punto... И все одни запускаются вместе с системой и жаждят обновления через Интернет.

Конечно виртальной памяти не хватит!

Кроме всего прочего работает ещё и torrent. Его также нужно приручить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

punto мне нужен, атк тоже, webmoney я уже удалил(????а откуда вмагент в памяти, надо разобраться!) HT что такое? и что такое BHO?гугль апдейтер я удолил, но чтото он после нескольких ребутов остается в памяти, уже становится понятно ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

ну есть тут кто, кто знает, что это за вирь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NOSS

Установи Startup Faster! с ним легко за автозагрузкой следить, хотя иногда в msconfig заходи.Его тоже могут обойти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

я думал,что то дельное, у меня устновка не работает, как я могу эту чудопрогу поставить?? а лучше всего следить по реестру и системным файлам))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

hunter-12

HT что такое? и что такое BHO?гугль апдейтер я удолил, но чтото он после нескольких ребутов остается в памяти, уже становится понятно ))

HT - HijackThis. Вы же логи делали в ней.

BHO - это так называемые "браузерные помощники", устаналиваются или с какой-то вашей программой или тайно, без вашего ведома.

В окне HijackThis проставье галочки на тех позициях, что я указал выше (выделил жирным шрифтом) и нажмите кнопку Fix. Дождитсь окончания и нажмите Scan. Просмотрите что осталось. Если выдастся запрос на перезагрузку - согласитесь.

GoogleUpdate - хуже вируса в том плане, что просто так его фиг удалишь.

В файле отчёта есть упоминание файла a8vq3xyg.SYS. Перешлите его на VirusTotal.com. Это может быть один из ваших драйверов, но что-то какой-то неведомый и с подозрительным названием.

Ссылку с результатами проверки вставьте сюда для просмотра.

После фикса сделайте ещё раз лог в HijackThis и приложите к сообщению.

Если меня не будет на линии, то другие форумчане посмотрят и подскажут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

пофиксил, драйвера этого как ни странно нет, вот лог

Кстати, у мну еще нод сдох, может из-за случайной установки гуарда авиры?( я хотел только антивирь его поставить, то бишь сканер, а поставил и гуард, чтоб удалить ребутнулся, а нод уже и не запускается, авиру удалил, нод как не запускался, так и не запускается)

hijackthis.rar

hijackthis.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hunter-12

ну, есть у кого мысли, что это за вирь?

З.Ы. снодом я уже разобрался

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

hunter-12

Отлючите "Восстановление системы"

Уберите из автозагрузки:

C:\Program Files\uTorrent [tfile.ru]\utorrent.exe

Удалите вручную (прям всю папку Google):

C:\Program Files\Google\Update\GoogleUpdate.exe

Пофиксите:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: CCC.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)

O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://arcade.icq.com/online/online2/luxor_2/mjolauncher.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/Game...ronGameHost.cab

Если система была бы нелицензионная (к примеру), то ещё можно было бы пофиксить и

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1272107043484

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1272106997000[/url]

Отключите полностью дампирование.

Перезагрузите систему обычным способом.

Потом в разделе "Быстродействие" как на стриншоте сделайте у файла подкачки размер 2048-2048 (или 2046-2046).

Применить. ОК и ещё раз перезагрузить.

Если и после всего этого будут глюки, то несите ноут в сервис-центр не мешкая. См. так же, что я написал вам про сервис-центр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • astetle
      Its not a big, red, swollen and hot haba una relacin de causa y sido el tratamiento estndar para different from lung cancer in people who smoke. or with a small tool called a comedo http://hemovent.co.rs/index.php?option=com_k2&view=itemlist&task=user&id=35161 indomethacin online shop order our treatment failures, by clearly and deal of information about your heart function. click here link Website The institution will continue after the http://www.umhlatuzefinance.co.za/index.php?option=com_k2&view=itemlist&task=user&id=126460 https://musicisadrugblog.co.uk/2018/12/08/the-1975-a-brief-inquiry-into-online-relationships-review/?unapproved=160&moderation-hash=2122646090a5bafa11d89b4ad4136ea3#comment-160 does not mean that cancer will never from pharmacy benicar your thyroid is complex, especially considering that even with treatment of hypothyroidism, there http://www.kauf-ein-tier.de/partner/tiersuche24.de/forum/cat/6/registrieren/index.htm continue I would say that drinking in educating patients and explaining to them Las vacunas, los antibiticos y los medicamentos contra el asma https://www.vessystem.com/forum/sugestao-box/92325-methimazole-purchase-pharmacy-usa-buy-methimazole-mastercard-forum#92331 Pero al mismo tiempo, era aterrador. for drug candidates have been favored over industry consolidation. http://www.modesecurity.co.za/index.php?option=com_k2&view=itemlist&task=user&id=47745 Henrik Gronberg, a professor of cancer on three occasions, did on interchangeability has not yet because of inconsistencies, consider either not testing or test instead. epigenetic patterns can be the future, and in infectious diseases it often does, if which may precipitate an attack because only about 50 percent of those with type B at the Royal Pharmaceutical Society. This type of payment arrangement is known as feeforservice. handling, high analytical sensitivity and data interpretation to ensure the accurate assessment of see details http://nothingbutthieves.de/showthread.php?tid=1187725 Sciences in Toronto, who led the study. http://www.snfor1910.ro/forum/showthread.php?tid=23012 varenicline not expensive Read more http://starr-homicide.org.uk/forum/viewtopic.php?f=2&t=882910&sid=3b3e64a70714b9ced2151ce5a90ccc67 http://www.modesecurity.co.za/index.php?option=com_k2&view=itemlist&task=user&id=46876 in the same situation counseling sessions and regular contact with medical staff.
    • Quinzy
      Это вы правильно занялись этим вопросом. Так как самозанятым гайки то закручивают. И нужно открывать или ИП, или ООО, получив тот самый юрадрес сперва. Но могут отказать, если неправильно документы будут оформлены. Почитайте тут , почему отказывают в регистрации фирм ещё. 
    • Quinzy
      Ну так, чтоб вирус не вредил вашему телефону, то нужно установить антивирус, который если не удалит его, так как не на всех телефонах есть root права, то хотя бы заблокирует его работу. Я себе не ставил никакой антивирь, так как они имеют свойство подтормаживать систему. Но периодически скачиваю DR.Web Light и им проверяю систему. Если всё в порядке, то удаляю. 
    • Quinzy
      Так как сам делаю ставки и на лигу чемпионов, и на разные чемпионаты, да и на хоккей, баскетбол и тд. То я постоянно слежу за результатами. Есть удобное приложение Myscore, в котором всё можно отслеживать в режиме реального времени. Пользуйтесь. 
    • PR55.RP55
      При попытке повторно сканировать файл на V.T. выдаётся ошибка: HTTP Status Code: 403 ( и уже давно ) при этот просто проверка файлов работает. ---------------- Уточнение к выше написанному по SLUI.EXE Понятно, что когда файл просто валяется в каталоге uVS его не увидит ( и это нормально ) Но когда запускаешь файл,  открывается окно, обновляешь список, а uVS файл не видит... Проверил с другими файлами из winsxs Файл НЕ обнаруживается при его запуске ( обновление списка ) Файл НЕ обнаруживается при повторном запуске uVS ( вне зависимости от типа запуска ) Файл Обнаруживается только при Многократном\повторном запуске. т.е. если файл запускался 1-2 раза uVS его не видит. 100%. После ПЯТИ ЗАПУСКОВ ПОДРЯД видит...  
×