Показано с 1 по 18 из 18.

Убить конкретный Hacktool.RootKit ?!!!! (заявка № 11436)

  1. #1
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61

    Question Убить конкретный Hacktool.RootKit ?!!!!

    Здравствуйте !
    Пытаюсь избавиться от Hacktool.RootKit.
    Обычное обновление Symantec Antivirus не помогает. Даже не видит.
    Стал делать, как предложено на данном сайте - поэтому прикладываю логи.
    Спасибо за помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Где Симантек находил subj?

    В AVZ выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\ShowWnd.exe','');
     QuarantineFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe','');
     BC_DeleteFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe');
     DeleteFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe');
    ExecuteSysClean;
    BC_ImportAll;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через ссылку вверху темы.
    Прислать также boot_clr.log из директории AVZ.

    З.Ы. Пришла пора подумать о смене антивируса.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Вроде как в DefLib.sys при загрузке компа...
    Ща попробуем сделать, что прописал доктор...

    И какой же анивирус стоит установить ?

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Arigeen Посмотреть сообщение
    Вроде как в DefLib.sys при загрузке компа...

    И какой же анивирус стоит установить ?
    DefLib.sys - найти в AVZ и добавить в карантин.

    Насчет антивирусов - есть целый раздел. Там и про платные, и про бесплатные много информации.

    Добавлено через 1 минуту
    Да, кстати пока идет только дигностирование, лечение будет после сдачи анализов (карантина).
    Последний раз редактировалось PavelA; 30.07.2007 в 16:00. Причина: Добавлено сообщение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Все анализы сдал...

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от PavelA Посмотреть сообщение
    DefLib.sys - найти в AVZ и добавить в карантин
    Повторно прошу поискать.

    ShowWnd.exe - чистый.

    Добавлено через 4 минуты
    c:\docume~1\ddb\locals~1\temp\winlogon.exe - Trojan-Proxy.Win32.Small.du
    по Касперскому

    Делай новый комплект логов.
    Последний раз редактировалось PavelA; 30.07.2007 в 18:25. Причина: Добавлено сообщение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Дело в том, что после начала диагностики проблема частично исчезла, например симантек перестал пытаться отправлять рассылку через свой как-бы прокси.... и deflib.sys ghb загрузке уже не детектит...
    зато щас невозможно выгрузить симентек - меню не активно, а при отключении автоматической защиты она через 2 сек включается сама...
    а вот что пишет AVZ при попытке довабления файла в карантин:
    Ошибка карантина файла "deflib.sys", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\deflib.sys", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\system32\deflib.sys", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В защищенном режиме с отключенным хотя бы на время антивирусом
    выполнить скрипт:

    Код:
    begin
     Quarantinefile('C:\WINDOWS\deflib.sys','');                                           
     RebootWindows(true);
    end.
    Ежели ошибок не будет, то прислать карантин.

    А это по поводу того, который зверь:
    F-Secure 6.70.13030.0 2007.07.30 Trojan-Proxy.Win32.Small.du
    Ikarus T3.1.1.8 2007.07.30 Trojan-Proxy.Win32.Small.DU
    Kaspersky 4.0.2.24 2007.07.30 Trojan-Proxy.Win32.Small.du
    McAfee 5085 2007.07.27 -
    Microsoft 1.2704 2007.07.30 -
    NOD32v2 2429 2007.07.30 Win32/TrojanProxy.Small.NAR
    Norman 5.80.02 2007.07.30 W32/Smalltroj.BIOR
    Panda 9.0.0.4 2007.07.30 Trj/Downloader.MDW
    Rising 19.34.02.00 2007.07.30 Trojan.Win32.Agent.tsn
    Prevx1 V2 2007.07.30 Generic.Malware
    Sophos 4.19.0 2007.07.26 -
    Sunbelt 2.2.907.0 2007.07.28 Trojan-Proxy.Win32.Small.du
    Symantec 10 2007.07.30 -
    TheHacker 6.1.7.158 2007.07.30 Trojan/Proxy.Small.du
    VBA32 3.12.2.1 2007.07.30 Trojan-Proxy.Win32.Small.du
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Вот новые логи:

  11. #10
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Точнее вот новые логи :
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Добавился новый трабл - комп не хочет выключаться либо перезагружаться софтовой кнопкой...

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить в HijackThis:
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ddb\LOCALS~1\Temp\winlogon.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Сделано. Что делать теперь ?

    Добавлено через 2 минуты
    И все-таки - какой на сег. день лучше поставить антивирус и файр-вол, чтобы при этом сильно не углубляться в тему, но и сократить до минимума будущие геморрои со всякими болячками ? бесплатный желательно или ломанный
    Последний раз редактировалось Arigeen; 30.07.2007 в 20:21. Причина: Добавлено сообщение

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Arigeen Посмотреть сообщение
    И все-таки - какой на сег. день лучше поставить антивирус и файр-вол, чтобы при этом сильно не углубляться в тему, но и сократить до минимума будущие геморрои со всякими болячками ? бесплатный желательно или ломанный
    AOL Касперского и/или Comodo в полном пакете (антивирус,фаервалл)

    Если поставишь, то перед проверками почисть директорию Quarantine от AVZ. О результатах тоже неплохо отписаться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    61
    Спасибо!
    Но ведь по-моему Касперский весьма жаден до ресурсов...
    И где взять этот Comodo для ознакомления хотя бы ?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Arigeen Посмотреть сообщение
    Спасибо!
    Но ведь по-моему Касперский весьма жаден до ресурсов...
    поставте триал ... и посмотрите ...

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от PavelA Посмотреть сообщение
    AOL Касперского
    Это урезанная версия. Жрет ресурсов поменьше.
    Ссылки в соотв. разделах форума.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\ddb\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Puma.pz (DrWEB: Trojan.Packed.147)


  • Уважаемый(ая) Arigeen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите убить Hacktool
      От Depo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.07.2009, 16:51
    2. Hacktool.Rootkit не могу убить
      От aalsol в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 14.04.2009, 22:15
    3. Hacktool.Rootkit
      От reketir в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:58
    4. Hacktool.Rootkit не могу убить
      От DSTZloi в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:08
    5. Помогите убить Hacktool.Rootkit
      От revo в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 27.07.2007, 22:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01377 seconds with 20 queries