Показано с 1 по 20 из 20.

Опять Hacktool.rootkit, но есть нюанс (заявка № 18835)

  1. #1
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33

    Thumbs up Опять Hacktool.rootkit, но есть нюанс

    Здравствуйте! Не могу как и многие избавиться от этой гадости. Читал похожие темы, но не нашел там ответа. Вы просите отключить антивирус (у меня SAV), но я не могу его принудительно выключить, у меня стоит клиент в локальной сетке. Как мне поступить?

    Добавлено через 31 минуту

    Может мне просто снести SAV?
    Последний раз редактировалось SilverUnreal; 28.02.2008 в 19:14. Причина: Добавлено

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Я бы позвал администратора, ведающего антивирусом. Пусть воюет, это его работа.

  4. #3
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    Я и есть администратор))) Просто дело в том, что пароль от админской части я не могу достать. Но я могу на своём клиентскую снести и выполнить скрипт в АВЗ и отослать вам данные, вы только скажите как избавиться от руткита

    Добавлено через 2 часа 30 минут

    Ребят, профессионалы! Ну неужели никто не может помочь?
    Ведь были такие варианты приблизительно, ну выйдите кто-нибудт из знающих на контакт. Я первый раз такую гангрену получаю, уже сканил и в сейф моде, и сканил по процессам при удалении, ну не знаю я как эту херь вытравить. Это Генеральное консульство в Эдинбурге, Шотландия. Помогите, не дай бог чего, врагу же инфа достанется
    С этого внутреннего ip выходить бошье не буду, админский комп пока отрубил от всех сетей. Но внешний тот-же. Если конечно это важно
    Последний раз редактировалось SilverUnreal; 28.02.2008 в 22:32. Причина: Добавлено

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Неважно с какого IP. Важны логи AVZ без них только format

    Как проба...попробуйте проверить машину cureit
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Как я понимаю, там под юзером не зайти и логи avz будут не информативны...

    Ну может этим попробовать?

    ftp://ftp.kaspersky.ru/utils/getsyst...SystemInfo.exe

    Созданный программой лог заархивируйте и приложите

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Уточняю, вы имеете локально права админа, но не можете остановить антивирус?

    Если так, то Ваш выбор - сносить или нет, просто работающий SAV может свести к 0 все попытки вылечить систему
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    Так, товарищи, наверное я что-то неправильно написал. В общем обстоит дело так: с нета идёт роутер... Далее идёт на мой комп, от него идёт 2 сетки, одна локальная и один общий доступ в нет (2 сетевухи), от меня идёт сеть на сервер , но он лишь SQL , т.е. только для хранения азы данных и т.п. В общем, это не суть, но вы говорите об антивирусе, но мне то нужно от руткита этого избавиться. Войти под админом на серверском компе, на котором стоит серверная часть антивиря я могу, но для чего это. На Админском компе я итак вхожу как админ, но именно эту машину и нужно вылечить. Я не знаю что ещё писать, но нужно сделать, чтобы привлечь ваще внимание и вникнуть в проблему
    Могу загрузиться с любой оси, но какие файло удалять, я незнаю, антивирь определяет только этот сраный _sv_.sy. В процессах возникают 2 лишние iexplorer, при закрытом IE. После отколючения оных SAV начинает ругаться иначе, то бишь перегружать систему не требует, а лишь констатирует факт, возможно это ерунда конечно.
    Люди, отпишитесь кто чем может, очень уж впадлу заново поднимать Дельфи, SQL, Сервак
    не дай бог ещё по сетке попёрлось куда-нить
    готов денег заплатить

    Добавлено через 4 минуты

    Цитата Сообщение от akoK Посмотреть сообщение
    Уточняю, вы имеете локально права админа, но не можете остановить антивирус?

    Если так, то Ваш выбор - сносить или нет, просто работающий SAV может свести к 0 все попытки вылечить систему
    Дело в том, что SAV невозможно остановить никакими способами, кроме удаления.!!! И Серверная или локальная часть не имеет значения. Просто нажать мол "отключить антивирус" такого просто не существует. Выгружал и из служб и из процессов, восстанавливается моментом. А если я снесу Антивирь, то можно как-то определить что у меня с помощью АВЗ?
    Последний раз редактировалось SilverUnreal; 29.02.2008 в 00:03. Причина: Добавлено

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    вобщем делайте логи с включенным антивирусом .... ничего страшного не произойдет ...

  10. #9
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    О! Спасибо! Можно завтра я сделаю логи , только можете напомнить какой скрипт нужно сделать? Антивирь я уже удалил (почти, система при его удалении зависла, но сейчас не видит даже библиотек))). Просто я на 4 часа как задержался на работе, ждав ваших рекомендаций. напишите в форуме какой скрипт выполнить и завтра в 12-30 по вашему, я отправлю вам логи. Пожалуйста, поддержите. Очень важно! Как я говорил, это не просто личный комп, это комп МИДовской системы
    Спасибо заранее. Если что, напишите сколько должны! Спасибо!

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сделайте три лога .... посмотрим .... после будут рекомендации ...

  12. #11
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    Сделал логи. Высылаю. Только у меня после первого сканирования появился ещё virusinfo_cure.zip, незнаю нужен ли он, но прикреплять пока не буду.
    virusinfo_syscure.zip

    virusinfo_syscheck.zip

    hijackthis.log

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\tmfeb26.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\_sv_.sy','');
     QuarantineFile('c:\windows\system32\yandex.dll','');
     QuarantineFile('C:\WINDOWS\system32\windrv.dll','');
     DeleteFile('C:\WINDOWS\system32\drivers\_sv_.sy');
     BC_DeleteSvc('Ntfscore');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  14. #13
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    готово!

    Добавлено через 28 минут

    я могу пока поставить антивирус, а то без защиты страшновато)))) Сейчас вот просканил онлайн Агавой - нашел 2-х шпиёнов

    Добавлено через 38 минут

    отослал, но что-то тишина, может не так отослал?
    Последний раз редактировалось SilverUnreal; 29.02.2008 в 15:37. Причина: Добавлено

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Мы ждем ответа из вирлаба
    Последний раз редактировалось akoK; 29.02.2008 в 16:01.
    Microsoft Most Valuable Professional in Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    ясно, бум ждать))

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    tmfeb26.exe_ - Trojan.Win32.Samsa.aa,
    yandex.dll - Trojan-Downloader.Win32.Small.hsl
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\tmfeb26.exe');
     DeleteFile('c:\windows\system32\yandex.dll');     
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ....

  18. #17
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    Выполнил повторную проверку, высылаю логи. Кажется всё отлично, зараза побеждена!

    virusinfo_syscheck.zip

    hijackthis.log

    virusinfo_syscure.zip

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ничего подозрительного ....
    осталось авз- Мастер поиска и устранения проблем - выбрать все проблемы устранить ..

  20. #19
    Junior Member Репутация
    Регистрация
    28.02.2008
    Сообщений
    9
    Вес репутации
    33
    Спасибо ОГРОМНОЕ! Все отлично. Вы молодцы!!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\tmfeb26.exe - Trojan.Win32.Samsa.aa (DrWEB: BackDoor.Mask)
      2. c:\\windows\\system32\\yandex.dll - Trojan-Downloader.Win32.Small.hsl


  • Уважаемый(ая) SilverUnreal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Hacktool.Rootkit
      От DVlad в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.04.2009, 18:50
    2. Опять Hacktool.Rootkit
      От Botsman в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:36
    3. Hacktool.Rootkit
      От Mistakila в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.02.2008, 23:07
    4. У меня опять Hacktool.Rootkit...
      От nasya в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.12.2007, 00:07
    5. HackTool.RootKit
      От ghostil в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 27.07.2007, 21:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00755 seconds with 24 queries