-
Junior Member
- Вес репутации
- 48
Не могу избавиться от Rootkit user mode
Добрый день. Не могу избавиться от rootkit. avz выдает:
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75DB5F5A->77818954
Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75DB5F75->77803F44
Функция user32.dll:DefWindowProcA (1664) перехвачена, метод ProcAddressHijack.GetProcAddress ->75DB5F90->777E28B3
Функция user32.dll:DefWindowProcW (1665) перехвачена, метод ProcAddressHijack.GetProcAddress ->75DB5FAB->777D243D
При запуске скрипта "поиск и нейтрализация rootkit" программа зависает. Режим avz guard не включается.
Сам руткит проявляет себя подключаясь от имени [system process] или других процессов к различным серверам и скачивая что-то. Например:
chrome.exe 2864 TCP лариса-ПК 50118 dy-in-f100.1e100.net http LAST_ACK 6 4*654 3 916
[System Process] 0 TCP лариса-ПК 50119 194.87.154.53 https TIME_WAIT 10 4*880 11 6*791
операционная система Windows 7 домашняя базовая, установлен антивирус mcafee internet security
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Для Win7, тем более x64, все эти маскировки и невозможность использования AVZGuard это норма.
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\Windows\system32\IEXPLOREi.exe','');
DeleteFile('C:\Windows\system32\IEXPLOREi.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=101552).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Скрипт выполнил, но в карантине ничего не появилось - пишет:
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\IEXPLOREi.exe)
Карантин с использованием прямого чтения - ошибка
-
I am not young enough to know everything...
-