Перейти к содержанию
iron

Вопрос к p2u: как настроить маршрутизацию на Корбине?

Recommended Posts

p2u
А у этих антируткитов есть какая-то специализация? Интересно...

Специализация? То, что Windows не выдаёт они часто обнаруживают - это само по себе уже особенно. Но успешная борьба всё равно зависит от знающего человека. На вирусинфо пользуются когда с AVZ не получается, причём иногда придётся использовать переименованный вариант, так как звери могут блокировать эти инструменты по именам. Советую там прочитать как происходит работа с ними. Ещё лучше: записаться на курс хелпера.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iron
Специализация? То, что Windows не выдаёт они часто обнаруживают - это само по себе уже особенно. Но успешная борьба всё равно зависит от знающего человека. На вирусинфо пользуются когда с AVZ не получается, причём иногда придётся использовать переименованный вариант, так как звери могут блокировать эти инструменты по именам. Советую там прочитать как происходит работу с ними. Ещё лучше: записаться на курс хелпера.

Paul

Спасибо Вам большое!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iron

Добрый вечер, Паул :)

Если можно, я хотел бы с Вами посоветоваться. У меня на компьютере застрял трудноудалимый руткит. Только что снёс систему, чтобы от него избавиться, причём менял форматирование диска C: с NTFS нв FAT32 и обратно, но эта гадость каким-то таинственным образом снова воскресла. До сноса у меня были такие данные RkU:

RkUnhooker report generator v0.7

==============================================

Rootkit Unhooker kernel version: 3.7.300.509

==============================================

Windows Major Version: 5

Windows Minor Version: 1

Windows Build Number: 2600

==============================================

Suspect File: C:\WINDOWS\system32\wbem\Logs\wbemcore.log Status: Hidden

Suspect File: C:\WINDOWS\system32\wbem\Logs\wbemess.log Status: Hidden

Пераоначально среди скрытых был ещё и вордовский файл на диске D:, но, после того как я его удалил, он больше не "воскрес".

При частичной установке системы скрытых файлов некоторое время не было , но потом они появились:

RkUnhooker report generator v0.7

==============================================

Rootkit Unhooker kernel version: 3.7.300.509

==============================================

Windows Major Version: 5

Windows Minor Version: 1

Windows Build Number: 2600

==============================================

Suspect File: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\LOGFILES\sched.log Status: Hidden

Suspect File: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\LOGFILES\Upd-2009-07-13-12-35-11.log Status: Hidden

Suspect File: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\3b5ac841.avl Status: Hidden

Suspect File: C:\WINDOWS\system32\wbem\Logs\wbemess.log Status: Hidden

Просто удалять их бессмысленно: они появляются снова.

После сноса у меня вдруг ни с того ни с сего, когда я хотел поставить ещё одну программу и вошёл с правами администратоа, произошл жёсткий reboot, компьютер некоторое время вообще не включался, а потом выключился GoBack на диске C: (и эта программа теперь не удаляется, пишет, что загрузочный сектор на C: стал досовским (это при том, что на C: у меня NTFS).

У меня есть GMER (но сканирование файлов вызывает жёсткий reboot, причём не только на заражённом "основном" компьютере, но и на, вроде бы, чистом ноутбуке. IceSword, как кажется, сканировать файлы не умеет, а в перечне процессов я разобраться не могу.

Я привык бесконечно доверять всему, что Вы скажете.

Пожалуйста, подскажите. как мне быстро избавиться от этой гадости. Я думал, что сноса системы будет достаточно, но, очевидно, это уже не так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Это у вас скорее связано с железом, я так думаю, но проверить стоит всё-таки. Так же не исключаю, что надо забыть про GoBack - он уже давно не поддерживается и он бывает несовместим с разными программами. Он, как я раньше уже говорил, заменяет MBR и некоторые секторы на диске и может вывести из строя всё, что у вас в системе находится.

Офф-топ: Чтобы вы поняли, как сложно от него избавиться если необходимых знаний о программе нет - мне рассказали один случай: у человека был диск разбит на 2 логических. Форматировали один раздел, потом другой а в новую систему GoBack отказался устанавливаться; говорил, что там другое устройство препятствует. Пришлось соединить оба раздела, отформатировать раза 3 по разному и потом заново разбить и отформатировать отдельно. Остатки 'старого' GoBack ичсезли. Жаль, что до этого эти ребята не читали про то, как эта программа работает, и о том, что GoBack заменяет MBR - они, возможно, могли бы решить дело быстро с помощью fixmbr (спасибо sceptic, забыл добавить ;)).

Чтобы вам быстро и оперативно помогли с руткитом (которого по-моему нет), откройте тему в 'Помогите' на ВирусИнфо. Сначала выполните Правила.

P.S.: Я могу приехать к вам, но это будет не раньше пятницы (после 13:00 ч.). Пишите на (мой ник) собачка freemail.ru. Договоримся и настроем систему раз и навсегда (за диск с музыкой + чашку кофе ;)).

P.S.2: Сейчас делают на ноутбуках систему восстановления самого провайдера ноутбука (туда можно попасть через 'Escape' до загрузки Windows по моему). Вы там не смотрели?

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iron

Спасибо Вам огромное!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) Так как в образе нет сводной  % таблицы практически невозможно понять какой _СИСТЕМНЫЙ процесс нагружает gpu и cpu. Если есть нагрузка на  gpu и cpu - то, должно _автоматически включаться\отключаться отслеживание. 2) Нужен лог нагрузки на gpu и cpu. 2.1) К логу должна быть возможность применить фильтр.    
    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
×