Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

неизвестный руткит , разновидность TDL

1 2 След.
RSS
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 16:47:21
помогите определить разновидность руткита
по всем признакам разновидность TDL но TdlFsReader его не видит
любые логи по запросу вышлю
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 17:03:29
а TDSKiller пробовал?
лог uVS не помешал бы здесь
Правильно заданный вопрос - это уже половина ответа
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 17:16:49
TDSSKiller тоже его не видит
лог uvs прилагаю
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 17:29:48
а чем руткит обнаружил? кто нибудь ругался? очистка была?
попробуй для начала этот скрипт из буфера обмена выполнить
Код
;uVS v3.71 script [http://dsrt.dyndns.org]

delref %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\DRV2
deltmp
delnfr

а вообще очень много удаленных драйверов, но которые числятся в автозапуске
Правильно заданный вопрос - это уже половина ответа
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 17:42:28
руткит обнаружил Tuluka kernel inspector-http://www.tuluka.org/
avz gmer его тоже видят но после очистки и перезагруза он восстанавливается.
замена hdd на новый и перепрошив bios не помогла
какие есть мысли?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 17:44:39
а такую кучу драйверов кто удалил? какая-то покалеченная система...
не уверен что правильным будет, но думаю чистка реестра от файлов которых уже нет не помешает. а лучше подожди знатоков uVS'a ;)
Правильно заданный вопрос - это уже половина ответа
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 20:12:16
скрипт выполнил что дальше?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 09.11.2011 20:15:46
А с чего вы решили что у Вас в системе руткит?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 20:30:24
ему Tuluka kernel inspector сказал  :D
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.11.2011 21:27:17
1. поиск руткитов в uVS выполняется следующим образом.
  - в активной (зараженной системе) создаем файл сверки (Меню руткиты/ создать файл сверки автозапуска 1-2 мин)
    пишем файл сверки на флэшку. (или на диск)  
  -  загружаемся с Live Cd, запускаем uVS, выбираем исследуемую (предположительно руткитом) систему,
     выполняем / Меню руткиты / поиск скрытых и измененных объектов системы по файлу сверки /
     создаем полный образ автозапуска для анализа.
     передаем хелперам, или самостоятельно его изучааем.
2. по скриптам uVS. Арвид у нас стажер, поэтому желательно выполнять скрипты, подписанные модератором.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему