Перейти к содержанию
iron

Вопрос к p2u: как настроить маршрутизацию на Корбине?

Recommended Posts

p2u
А у этих антируткитов есть какая-то специализация? Интересно...

Специализация? То, что Windows не выдаёт они часто обнаруживают - это само по себе уже особенно. Но успешная борьба всё равно зависит от знающего человека. На вирусинфо пользуются когда с AVZ не получается, причём иногда придётся использовать переименованный вариант, так как звери могут блокировать эти инструменты по именам. Советую там прочитать как происходит работа с ними. Ещё лучше: записаться на курс хелпера.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iron
Специализация? То, что Windows не выдаёт они часто обнаруживают - это само по себе уже особенно. Но успешная борьба всё равно зависит от знающего человека. На вирусинфо пользуются когда с AVZ не получается, причём иногда придётся использовать переименованный вариант, так как звери могут блокировать эти инструменты по именам. Советую там прочитать как происходит работу с ними. Ещё лучше: записаться на курс хелпера.

Paul

Спасибо Вам большое!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iron

Добрый вечер, Паул :)

Если можно, я хотел бы с Вами посоветоваться. У меня на компьютере застрял трудноудалимый руткит. Только что снёс систему, чтобы от него избавиться, причём менял форматирование диска C: с NTFS нв FAT32 и обратно, но эта гадость каким-то таинственным образом снова воскресла. До сноса у меня были такие данные RkU:

RkUnhooker report generator v0.7

==============================================

Rootkit Unhooker kernel version: 3.7.300.509

==============================================

Windows Major Version: 5

Windows Minor Version: 1

Windows Build Number: 2600

==============================================

Suspect File: C:\WINDOWS\system32\wbem\Logs\wbemcore.log Status: Hidden

Suspect File: C:\WINDOWS\system32\wbem\Logs\wbemess.log Status: Hidden

Пераоначально среди скрытых был ещё и вордовский файл на диске D:, но, после того как я его удалил, он больше не "воскрес".

При частичной установке системы скрытых файлов некоторое время не было , но потом они появились:

RkUnhooker report generator v0.7

==============================================

Rootkit Unhooker kernel version: 3.7.300.509

==============================================

Windows Major Version: 5

Windows Minor Version: 1

Windows Build Number: 2600

==============================================

Suspect File: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\LOGFILES\sched.log Status: Hidden

Suspect File: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\LOGFILES\Upd-2009-07-13-12-35-11.log Status: Hidden

Suspect File: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\3b5ac841.avl Status: Hidden

Suspect File: C:\WINDOWS\system32\wbem\Logs\wbemess.log Status: Hidden

Просто удалять их бессмысленно: они появляются снова.

После сноса у меня вдруг ни с того ни с сего, когда я хотел поставить ещё одну программу и вошёл с правами администратоа, произошл жёсткий reboot, компьютер некоторое время вообще не включался, а потом выключился GoBack на диске C: (и эта программа теперь не удаляется, пишет, что загрузочный сектор на C: стал досовским (это при том, что на C: у меня NTFS).

У меня есть GMER (но сканирование файлов вызывает жёсткий reboot, причём не только на заражённом "основном" компьютере, но и на, вроде бы, чистом ноутбуке. IceSword, как кажется, сканировать файлы не умеет, а в перечне процессов я разобраться не могу.

Я привык бесконечно доверять всему, что Вы скажете.

Пожалуйста, подскажите. как мне быстро избавиться от этой гадости. Я думал, что сноса системы будет достаточно, но, очевидно, это уже не так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Это у вас скорее связано с железом, я так думаю, но проверить стоит всё-таки. Так же не исключаю, что надо забыть про GoBack - он уже давно не поддерживается и он бывает несовместим с разными программами. Он, как я раньше уже говорил, заменяет MBR и некоторые секторы на диске и может вывести из строя всё, что у вас в системе находится.

Офф-топ: Чтобы вы поняли, как сложно от него избавиться если необходимых знаний о программе нет - мне рассказали один случай: у человека был диск разбит на 2 логических. Форматировали один раздел, потом другой а в новую систему GoBack отказался устанавливаться; говорил, что там другое устройство препятствует. Пришлось соединить оба раздела, отформатировать раза 3 по разному и потом заново разбить и отформатировать отдельно. Остатки 'старого' GoBack ичсезли. Жаль, что до этого эти ребята не читали про то, как эта программа работает, и о том, что GoBack заменяет MBR - они, возможно, могли бы решить дело быстро с помощью fixmbr (спасибо sceptic, забыл добавить ;)).

Чтобы вам быстро и оперативно помогли с руткитом (которого по-моему нет), откройте тему в 'Помогите' на ВирусИнфо. Сначала выполните Правила.

P.S.: Я могу приехать к вам, но это будет не раньше пятницы (после 13:00 ч.). Пишите на (мой ник) собачка freemail.ru. Договоримся и настроем систему раз и навсегда (за диск с музыкой + чашку кофе ;)).

P.S.2: Сейчас делают на ноутбуках систему восстановления самого провайдера ноутбука (туда можно попасть через 'Escape' до загрузки Windows по моему). Вы там не смотрели?

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iron

Спасибо Вам огромное!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×