Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

неизвестный руткит , разновидность TDL

1 2 След.
RSS
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 16:47:21
помогите определить разновидность руткита
по всем признакам разновидность TDL но TdlFsReader его не видит
любые логи по запросу вышлю
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 17:03:29
а TDSKiller пробовал?
лог uVS не помешал бы здесь
Правильно заданный вопрос - это уже половина ответа
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 17:16:49
TDSSKiller тоже его не видит
лог uvs прилагаю
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 17:29:48
а чем руткит обнаружил? кто нибудь ругался? очистка была?
попробуй для начала этот скрипт из буфера обмена выполнить
Код
;uVS v3.71 script [http://dsrt.dyndns.org]

delref %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\DRV2
deltmp
delnfr

а вообще очень много удаленных драйверов, но которые числятся в автозапуске
Правильно заданный вопрос - это уже половина ответа
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 17:42:28
руткит обнаружил Tuluka kernel inspector-http://www.tuluka.org/
avz gmer его тоже видят но после очистки и перезагруза он восстанавливается.
замена hdd на новый и перепрошив bios не помогла
какие есть мысли?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 17:44:39
а такую кучу драйверов кто удалил? какая-то покалеченная система...
не уверен что правильным будет, но думаю чистка реестра от файлов которых уже нет не помешает. а лучше подожди знатоков uVS'a ;)
Правильно заданный вопрос - это уже половина ответа
 
tankisttt
tankisttt
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 09.11.2011
Размещено 09.11.2011 20:12:16
скрипт выполнил что дальше?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 09.11.2011 20:15:46
А с чего вы решили что у Вас в системе руткит?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.11.2011 20:30:24
ему Tuluka kernel inspector сказал  :D
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.11.2011 21:27:17
1. поиск руткитов в uVS выполняется следующим образом.
  - в активной (зараженной системе) создаем файл сверки (Меню руткиты/ создать файл сверки автозапуска 1-2 мин)
    пишем файл сверки на флэшку. (или на диск)  
  -  загружаемся с Live Cd, запускаем uVS, выбираем исследуемую (предположительно руткитом) систему,
     выполняем / Меню руткиты / поиск скрытых и измененных объектов системы по файлу сверки /
     создаем полный образ автозапуска для анализа.
     передаем хелперам, или самостоятельно его изучааем.
2. по скриптам uVS. Арвид у нас стажер, поэтому желательно выполнять скрипты, подписанные модератором.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему