-
Junior Member
- Вес репутации
- 46
Rootkit.Win32.ZAccess.j
Добрый день.
Хочу поделиться симптомами и вероятным излечением (winXP).
После запуска инсталлятора от группы unleashed, некий файл (забыл название) обратился к explorer.exe, и понеслась нескончаемая цепочка обращений ко всевозможным адресам от svchost.exe.
Проверил систему первым попавшимся антивирусом, которым оказался dr.web с базой от 16.10.11, но ничего вредоносного не было найдено. HijackThis не показал никаких изменений.
После ребута на логон экране стал крэшится svchost.exe с ошибкой "память не может быть 'read'". Если залогиниться, то windows выпадал на пустой рабочий стол.
Получилось через диспетчер задач запустить services.msc и оказалось, что workstation служба и все, что от нее зависят не запущены. Подняв ее и некоторые другие (некоторые выдают ошибку при запуске), удалось прогрузиться до конца.
Проверка AVZ в сейф моуд выявила тот самый руткит в файле netbt.sys по пути c:\WINDOWS\system32\drivers\
После загрузки в обычном режиме крэши svchost прекратились.
Заодно хотелось бы узнать, действительно ли система теперь полностью излечена (посмотрел обновленный HijackThis снова - все идентично старым логам).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
donm
Заодно хотелось бы узнать, действительно ли система теперь полностью излечена
А Вы проверьтесь у наших специалистов
-