Показано с 1 по 20 из 20.

Обнаружен вирус Hacktool.Rootkit!! Что делать? (заявка № 15803)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60

    Thumbs up Обнаружен вирус Hacktool.Rootkit!! Что делать?

    Антивирь обнаружил вирус Hacktool.Rootkit в зараженном файле wincab.sys. Удалить не может. Вернее удаляет и тут же зависает! При следующей перезагрузке компа повторяется то же самое (вирус обнаруживается, удалаяется и Симантек зависает). Также при включении и выключении компа стало появлятся сообщение об ошибке приложения amvo.exe следующего содержания: "Инструкция по адресу "0х10013f72" обратилась к памяти по адресу "0х000000ff". Память не может быть "read". Такая же вещь происходит и на рабочем ноутбуке. Подскажите пожалуйста как справится с этой проблемой.Для начала выкладываю логи с домашнего компа.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Карантин загрузил по ссылке. Для карантина только пароль на архив должен быть "virus" или также такое же имя архива? Если что-то не так с карантином, то загружу по новой. Выкладываю повторно логи после выполнения скрипта.
    Вложения Вложения
    Последний раз редактировалось putnik82; 30.12.2007 в 00:46. Причина: уточнение по загрузке карантина

  5. #4
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Что дальше нужно делать?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В карантине:
    amvo0.dll, amvo.exe - Worm.Win32.AutoRun.bfs

    Поищите с помощью AVZ - Сервис - Поиск файлов на диске
    файл usdeiect.com.
    Пришлите один экземпляр по правилам.
    У себя удалите везде, где найдется.

    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.

    >> Нарушение ассоциации PIF файлов
    >> Нарушение ассоциации SCR файлов
    Это можно исправить в AVZ через "Мастер поиска и устранения проблем".
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    usdeiect.com нигде не детектится. Сегдня с утра появилась новая проблема Симантик обнаружил W32.Gammia. Сделал проверку Симантиком в безопасном режиме - был удален Downloader amvo1.dll в system32. После этого Симантик вроде бы успокоился. Но не работает функция "показывать скрытые файлы" (отключилась). Как ее восстановить? Выкладываю новые логи, высылаю карантин и жду ответа и подсказки что необходимо предпринимать дальше.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    Потенциально опасные сервисы будем отключать?
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Выполнил скрипт. Показ скрытых файлов заработал. Насчет потенциально опасных сервисов можно поподробнее?? Я просто не в курсе что можно отключить, а что нет. Комп испульзуется дома без локальной сети

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    (оставил только автозапуск CD).

    Добавлено через 36 секунд

    Сделайте новые логи, начиная с п.10 правил.
    Последний раз редактировалось Bratez; 30.12.2007 в 13:50. Причина: Добавлено
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Ок. Скрипт выполнил. Логи выложу ближе к вечеру.

  12. #11
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Выкладываю 2 лога. Лог "virusinfo_syscheck.zip" AVZ не выдает и после выполнения стандартного скрипта №2 закрывается без сохранения данного лога. В ходе проверки обнаруживает два подозрительных файла:
    1 - dpl100.dll.BAK в system32,
    2 - winrar.exe.bak в папке C:\Program Files\WinRAR.
    Также высылаю карантин.
    Вложения Вложения
    Последний раз редактировалось putnik82; 30.12.2007 в 22:24.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\Program Files\ASWPro\SSS.sys','');
     QuarantineFile('C:\WINDOWS\system32\Filt\ASWFilt.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....

  14. #13
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    прога Hijackthis не находит поэтому пофиксить не могу. Скрипт выполнять?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    да ...

  16. #15
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Скрипт выполнил. Карантин отослал. Комп после выполнения скрипта сам перезагрузится не смог-завис. Пришлось жестоко с кнопки перезагрузить((.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    SSS.sys- поищите при помощи avz .... если найдется пришлите по правилам

  18. #17
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Неа - SSS.sys при помощи avz нигде не определился. Повторная перезагрузка компа прошла успешно!! После нового гда обращусь за помощью по удалению руткитов с рабочего ноута. Спасибо за помощь! С Наступающим 2008-м!! И удачи всем хэлперам, администраторам,модераторам, пользователям данного сайта и всем-всем-всем, кто читает данное сообщение!!

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Если файла нет, почистим мусор:
    Код:
    begin
     BC_DeleteFile('C:\Program Files\ASWPro\SSS.sys');
     BC_DeleteSvc('AntiSpyWareProFilter');
     BC_Activate;
     RebootWindows(true);
    end.
    С Наступающим!

  20. #19
    Junior Member Репутация
    Регистрация
    26.12.2007
    Сообщений
    11
    Вес репутации
    60
    Ок. Почистил!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)
      2. c:\\windows\\system32\\amvo.exe - Worm.Win32.AutoRun.bfs (DrWEB: Trojan.PWS.Wsgame.2387)
      3. c:\\windows\\system32\\amvo0.dll - Worm.Win32.AutoRun.bfs (DrWEB: Trojan.PWS.Wsgame.2387)
      4. d:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)


  • Уважаемый(ая) putnik82, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирус Hacktool.Rootkit
      От конст в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.06.2009, 13:07
    2. Помогите вирус Hacktool.Rootkit
      От Depo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:54
    3. Ответов: 14
      Последнее сообщение: 22.02.2009, 03:19
    4. Обнаружен вирус Hacktool.Rootkit
      От Ефим в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:16
    5. Вирус Hacktool.Rootkit в DefLib.sys
      От mm1234 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.01.2008, 11:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00950 seconds with 20 queries