Антивирь обнаружил вирус Hacktool.Rootkit в зараженном файле wincab.sys. Удалить не может. Вернее удаляет и тут же зависает! При следующей перезагрузке компа повторяется то же самое (вирус обнаруживается, удалаяется и Симантек зависает). Также при включении и выключении компа стало появлятся сообщение об ошибке приложения amvo.exe следующего содержания: "Инструкция по адресу "0х10013f72" обратилась к памяти по адресу "0х000000ff". Память не может быть "read". Такая же вещь происходит и на рабочем ноутбуке. Подскажите пожалуйста как справится с этой проблемой.Для начала выкладываю логи с домашнего компа.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин загрузил по ссылке. Для карантина только пароль на архив должен быть "virus" или также такое же имя архива? Если что-то не так с карантином, то загружу по новой. Выкладываю повторно логи после выполнения скрипта.
Последний раз редактировалось putnik82; 30.12.2007 в 00:46.
Причина: уточнение по загрузке карантина
В карантине:
amvo0.dll, amvo.exe - Worm.Win32.AutoRun.bfs
Поищите с помощью AVZ - Сервис - Поиск файлов на диске
файл usdeiect.com.
Пришлите один экземпляр по правилам.
У себя удалите везде, где найдется.
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
>> Нарушение ассоциации PIF файлов
>> Нарушение ассоциации SCR файлов
Это можно исправить в AVZ через "Мастер поиска и устранения проблем".
usdeiect.com нигде не детектится. Сегдня с утра появилась новая проблема Симантик обнаружил W32.Gammia. Сделал проверку Симантиком в безопасном режиме - был удален Downloader amvo1.dll в system32. После этого Симантик вроде бы успокоился. Но не работает функция "показывать скрытые файлы" (отключилась). Как ее восстановить? Выкладываю новые логи, высылаю карантин и жду ответа и подсказки что необходимо предпринимать дальше.
Выполнил скрипт. Показ скрытых файлов заработал. Насчет потенциально опасных сервисов можно поподробнее?? Я просто не в курсе что можно отключить, а что нет. Комп испульзуется дома без локальной сети
Выкладываю 2 лога. Лог "virusinfo_syscheck.zip" AVZ не выдает и после выполнения стандартного скрипта №2 закрывается без сохранения данного лога. В ходе проверки обнаруживает два подозрительных файла:
1 - dpl100.dll.BAK в system32,
2 - winrar.exe.bak в папке C:\Program Files\WinRAR.
Также высылаю карантин.
Последний раз редактировалось putnik82; 30.12.2007 в 22:24.
Неа - SSS.sys при помощи avz нигде не определился. Повторная перезагрузка компа прошла успешно!! После нового гда обращусь за помощью по удалению руткитов с рабочего ноута. Спасибо за помощь! С Наступающим 2008-м!! И удачи всем хэлперам, администраторам,модераторам, пользователям данного сайта и всем-всем-всем, кто читает данное сообщение!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: