Форум esetnod32.ru [тема: неизвестный руткит] http://forum.esetnod32.ru Новое в теме неизвестный руткит форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 17:21:20 +0300 неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
Согласно правилам раздела, в данном разделе форума ведётся обсуждение ответов на конкретные обращения в техническую поддержку пользователей.

Сообщите, если проблема ещё актуальна. После этого тема будет перенесена в соответствующий раздел форума.

Спасибо.
10.12.2012 17:57:58, Валентин.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message58991/ http://forum.esetnod32.ru/messages/forum6/topic2698/message58991/ Mon, 10 Dec 2012 17:57:58 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
tankisttt пишет:
как название руткита узнать?
=============
создайте образ автозапуска из под WinPe методом сверки. если будет выявлен руткит, тогда можно будет говорить о его наименовании.
13.11.2011 14:13:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23433/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23433/ Sun, 13 Nov 2011 14:13:08 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
как название руткита узнать?
12.11.2011 21:48:09, tankisttt.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23411/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23411/ Sat, 12 Nov 2011 21:48:09 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Арвид у нас стажер
=============
Официальный Стажер от ESET?  :)
09.11.2011 22:52:05, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23160/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23160/ Wed, 09 Nov 2011 22:52:05 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
uVS можно запустить из WinPe&uVS, из ERD2005&uVS
09.11.2011 22:41:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23159/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23159/ Wed, 09 Nov 2011 22:41:58 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
я в курсе как выполняется поиск руткитов в uvs
но после загрузки с Live CD uVs не запускает
09.11.2011 22:14:51, tankisttt.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23158/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23158/ Wed, 09 Nov 2011 22:14:51 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. поиск руткитов в uVS выполняется следующим образом.
  - в активной (зараженной системе) создаем файл сверки (Меню руткиты/ создать файл сверки автозапуска 1-2 мин)
    пишем файл сверки на флэшку. (или на диск)  
  -  загружаемся с Live Cd, запускаем uVS, выбираем исследуемую (предположительно руткитом) систему,
     выполняем / Меню руткиты / поиск скрытых и измененных объектов системы по файлу сверки /
     создаем полный образ автозапуска для анализа.
     передаем хелперам, или самостоятельно его изучааем.
2. по скриптам uVS. Арвид у нас стажер, поэтому желательно выполнять скрипты, подписанные модератором.
09.11.2011 21:27:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23152/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23152/ Wed, 09 Nov 2011 21:27:17 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
ему Tuluka kernel inspector сказал  :D
09.11.2011 20:30:24, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23140/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23140/ Wed, 09 Nov 2011 20:30:24 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
А с чего вы решили что у Вас в системе руткит?
09.11.2011 20:15:46, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23137/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23137/ Wed, 09 Nov 2011 20:15:46 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
скрипт выполнил что дальше?
09.11.2011 20:12:16, tankisttt.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23136/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23136/ Wed, 09 Nov 2011 20:12:16 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
а такую кучу драйверов кто удалил? какая-то покалеченная система...
не уверен что правильным будет, но думаю чистка реестра от файлов которых уже нет не помешает. а лучше подожди знатоков uVS'a ;)
script.txt
09.11.2011 17:44:39, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23123/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23123/ Wed, 09 Nov 2011 17:44:39 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
руткит обнаружил Tuluka kernel inspector-http://www.tuluka.org/
avz gmer его тоже видят но после очистки и перезагруза он восстанавливается.
замена hdd на новый и перепрошив bios не помогла
какие есть мысли?
09.11.2011 17:42:28, tankisttt.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23122/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23122/ Wed, 09 Nov 2011 17:42:28 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
а чем руткит обнаружил? кто нибудь ругался? очистка была?
попробуй для начала этот скрипт из буфера обмена выполнить
====code==== 
;uVS v3.71 script [http://dsrt.dyndns.org]

delref %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\DRV2
deltmp
delnfr
=============
а вообще очень много удаленных драйверов, но которые числятся в автозапуске
09.11.2011 17:29:48, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23121/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23121/ Wed, 09 Nov 2011 17:29:48 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
TDSSKiller тоже его не видит
лог uvs прилагаю
2011-11-09_17-11-19.ZIP
09.11.2011 17:16:49, tankisttt.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23120/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23120/ Wed, 09 Nov 2011 17:16:49 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
а TDSKiller пробовал?
лог uVS не помешал бы здесь
09.11.2011 17:03:29, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23119/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23119/ Wed, 09 Nov 2011 17:03:29 +0400 Обнаружение вредоносного кода и ложные срабатывания неизвестный руткит неизвестный руткит разновидность TDL в форуме Обнаружение вредоносного кода и ложные срабатывания.
помогите определить разновидность руткита
по всем признакам разновидность TDL но TdlFsReader его не видит
любые логи по запросу вышлю
09.11.2011 16:47:21, tankisttt.]]> http://forum.esetnod32.ru/messages/forum6/topic2698/message23118/ http://forum.esetnod32.ru/messages/forum6/topic2698/message23118/ Wed, 09 Nov 2011 16:47:21 +0400 Обнаружение вредоносного кода и ложные срабатывания