Показано с 1 по 18 из 18.

Убить конкретный Hacktool.RootKit ?!!!! (заявка № 11436)

  1. #1
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35

    Question Убить конкретный Hacktool.RootKit ?!!!!

    Здравствуйте !
    Пытаюсь избавиться от Hacktool.RootKit.
    Обычное обновление Symantec Antivirus не помогает. Даже не видит.
    Стал делать, как предложено на данном сайте - поэтому прикладываю логи.
    Спасибо за помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Где Симантек находил subj?

    В AVZ выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\ShowWnd.exe','');
     QuarantineFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe','');
     BC_DeleteFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe');
     DeleteFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe');
    ExecuteSysClean;
    BC_ImportAll;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через ссылку вверху темы.
    Прислать также boot_clr.log из директории AVZ.

    З.Ы. Пришла пора подумать о смене антивируса.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Вроде как в DefLib.sys при загрузке компа...
    Ща попробуем сделать, что прописал доктор...

    И какой же анивирус стоит установить ?

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Arigeen Посмотреть сообщение
    Вроде как в DefLib.sys при загрузке компа...

    И какой же анивирус стоит установить ?
    DefLib.sys - найти в AVZ и добавить в карантин.

    Насчет антивирусов - есть целый раздел. Там и про платные, и про бесплатные много информации.

    Добавлено через 1 минуту
    Да, кстати пока идет только дигностирование, лечение будет после сдачи анализов (карантина).
    Последний раз редактировалось PavelA; 30.07.2007 в 16:00. Причина: Добавлено сообщение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Все анализы сдал...

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от PavelA Посмотреть сообщение
    DefLib.sys - найти в AVZ и добавить в карантин
    Повторно прошу поискать.

    ShowWnd.exe - чистый.

    Добавлено через 4 минуты
    c:\docume~1\ddb\locals~1\temp\winlogon.exe - Trojan-Proxy.Win32.Small.du
    по Касперскому

    Делай новый комплект логов.
    Последний раз редактировалось PavelA; 30.07.2007 в 18:25. Причина: Добавлено сообщение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Дело в том, что после начала диагностики проблема частично исчезла, например симантек перестал пытаться отправлять рассылку через свой как-бы прокси.... и deflib.sys ghb загрузке уже не детектит...
    зато щас невозможно выгрузить симентек - меню не активно, а при отключении автоматической защиты она через 2 сек включается сама...
    а вот что пишет AVZ при попытке довабления файла в карантин:
    Ошибка карантина файла "deflib.sys", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\deflib.sys", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\system32\deflib.sys", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В защищенном режиме с отключенным хотя бы на время антивирусом
    выполнить скрипт:

    Код:
    begin
     Quarantinefile('C:\WINDOWS\deflib.sys','');                                           
     RebootWindows(true);
    end.
    Ежели ошибок не будет, то прислать карантин.

    А это по поводу того, который зверь:
    F-Secure 6.70.13030.0 2007.07.30 Trojan-Proxy.Win32.Small.du
    Ikarus T3.1.1.8 2007.07.30 Trojan-Proxy.Win32.Small.DU
    Kaspersky 4.0.2.24 2007.07.30 Trojan-Proxy.Win32.Small.du
    McAfee 5085 2007.07.27 -
    Microsoft 1.2704 2007.07.30 -
    NOD32v2 2429 2007.07.30 Win32/TrojanProxy.Small.NAR
    Norman 5.80.02 2007.07.30 W32/Smalltroj.BIOR
    Panda 9.0.0.4 2007.07.30 Trj/Downloader.MDW
    Rising 19.34.02.00 2007.07.30 Trojan.Win32.Agent.tsn
    Prevx1 V2 2007.07.30 Generic.Malware
    Sophos 4.19.0 2007.07.26 -
    Sunbelt 2.2.907.0 2007.07.28 Trojan-Proxy.Win32.Small.du
    Symantec 10 2007.07.30 -
    TheHacker 6.1.7.158 2007.07.30 Trojan/Proxy.Small.du
    VBA32 3.12.2.1 2007.07.30 Trojan-Proxy.Win32.Small.du
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Вот новые логи:

  11. #10
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Точнее вот новые логи :
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Добавился новый трабл - комп не хочет выключаться либо перезагружаться софтовой кнопкой...

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить в HijackThis:
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ddb\LOCALS~1\Temp\winlogon.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Сделано. Что делать теперь ?

    Добавлено через 2 минуты
    И все-таки - какой на сег. день лучше поставить антивирус и файр-вол, чтобы при этом сильно не углубляться в тему, но и сократить до минимума будущие геморрои со всякими болячками ? бесплатный желательно или ломанный
    Последний раз редактировалось Arigeen; 30.07.2007 в 20:21. Причина: Добавлено сообщение

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Arigeen Посмотреть сообщение
    И все-таки - какой на сег. день лучше поставить антивирус и файр-вол, чтобы при этом сильно не углубляться в тему, но и сократить до минимума будущие геморрои со всякими болячками ? бесплатный желательно или ломанный
    AOL Касперского и/или Comodo в полном пакете (антивирус,фаервалл)

    Если поставишь, то перед проверками почисть директорию Quarantine от AVZ. О результатах тоже неплохо отписаться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    9
    Вес репутации
    35
    Спасибо!
    Но ведь по-моему Касперский весьма жаден до ресурсов...
    И где взять этот Comodo для ознакомления хотя бы ?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от Arigeen Посмотреть сообщение
    Спасибо!
    Но ведь по-моему Касперский весьма жаден до ресурсов...
    поставте триал ... и посмотрите ...

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от PavelA Посмотреть сообщение
    AOL Касперского
    Это урезанная версия. Жрет ресурсов поменьше.
    Ссылки в соотв. разделах форума.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\ddb\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Puma.pz (DrWEB: Trojan.Packed.147)


  • Уважаемый(ая) Arigeen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите убить Hacktool
      От Depo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.07.2009, 16:51
    2. Hacktool.Rootkit не могу убить
      От aalsol в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 14.04.2009, 22:15
    3. Hacktool.Rootkit
      От reketir в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:58
    4. Hacktool.Rootkit не могу убить
      От DSTZloi в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:08
    5. Помогите убить Hacktool.Rootkit
      От revo в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 27.07.2007, 22:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00692 seconds with 22 queries