-
Junior Member
- Вес репутации
- 59
Опять Hacktool.rootkit, но есть нюанс
Здравствуйте! Не могу как и многие избавиться от этой гадости. Читал похожие темы, но не нашел там ответа. Вы просите отключить антивирус (у меня SAV), но я не могу его принудительно выключить, у меня стоит клиент в локальной сетке. Как мне поступить?
Добавлено через 31 минуту
Может мне просто снести SAV?
Последний раз редактировалось SilverUnreal; 28.02.2008 в 19:14.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Я бы позвал администратора, ведающего антивирусом. Пусть воюет, это его работа.
-
-
Junior Member
- Вес репутации
- 59
Я и есть администратор))) Просто дело в том, что пароль от админской части я не могу достать. Но я могу на своём клиентскую снести и выполнить скрипт в АВЗ и отослать вам данные, вы только скажите как избавиться от руткита
Добавлено через 2 часа 30 минут
Ребят, профессионалы! Ну неужели никто не может помочь?
Ведь были такие варианты приблизительно, ну выйдите кто-нибудт из знающих на контакт. Я первый раз такую гангрену получаю, уже сканил и в сейф моде, и сканил по процессам при удалении, ну не знаю я как эту херь вытравить. Это Генеральное консульство в Эдинбурге, Шотландия. Помогите, не дай бог чего, врагу же инфа достанется
С этого внутреннего ip выходить бошье не буду, админский комп пока отрубил от всех сетей. Но внешний тот-же. Если конечно это важно
Последний раз редактировалось SilverUnreal; 28.02.2008 в 22:32.
Причина: Добавлено
-
Неважно с какого IP. Важны логи AVZ без них только format
Как проба...попробуйте проверить машину cureit
Microsoft Most Valuable Professional in Consumer Security
-
Как я понимаю, там под юзером не зайти и логи avz будут не информативны...
Ну может этим попробовать?
ftp://ftp.kaspersky.ru/utils/getsyst...SystemInfo.exe
Созданный программой лог заархивируйте и приложите
-
-
Уточняю, вы имеете локально права админа, но не можете остановить антивирус?
Если так, то Ваш выбор - сносить или нет, просто работающий SAV может свести к 0 все попытки вылечить систему
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
Так, товарищи, наверное я что-то неправильно написал. В общем обстоит дело так: с нета идёт роутер... Далее идёт на мой комп, от него идёт 2 сетки, одна локальная и один общий доступ в нет (2 сетевухи), от меня идёт сеть на сервер , но он лишь SQL , т.е. только для хранения азы данных и т.п. В общем, это не суть, но вы говорите об антивирусе, но мне то нужно от руткита этого избавиться. Войти под админом на серверском компе, на котором стоит серверная часть антивиря я могу, но для чего это. На Админском компе я итак вхожу как админ, но именно эту машину и нужно вылечить. Я не знаю что ещё писать, но нужно сделать, чтобы привлечь ваще внимание и вникнуть в проблему
Могу загрузиться с любой оси, но какие файло удалять, я незнаю, антивирь определяет только этот сраный _sv_.sy. В процессах возникают 2 лишние iexplorer, при закрытом IE. После отколючения оных SAV начинает ругаться иначе, то бишь перегружать систему не требует, а лишь констатирует факт, возможно это ерунда конечно.
Люди, отпишитесь кто чем может, очень уж впадлу заново поднимать Дельфи, SQL, Сервак
не дай бог ещё по сетке попёрлось куда-нить
готов денег заплатить
Добавлено через 4 минуты
Сообщение от
akoK
Уточняю, вы имеете локально права админа, но не можете остановить антивирус?
Если так, то Ваш выбор - сносить или нет, просто работающий SAV может свести к 0 все попытки вылечить систему
Дело в том, что SAV невозможно остановить никакими способами, кроме удаления.!!! И Серверная или локальная часть не имеет значения. Просто нажать мол "отключить антивирус" такого просто не существует. Выгружал и из служб и из процессов, восстанавливается моментом. А если я снесу Антивирь, то можно как-то определить что у меня с помощью АВЗ?
Последний раз редактировалось SilverUnreal; 29.02.2008 в 00:03.
Причина: Добавлено
-
вобщем делайте логи с включенным антивирусом .... ничего страшного не произойдет ...
-
-
Junior Member
- Вес репутации
- 59
О! Спасибо! Можно завтра я сделаю логи , только можете напомнить какой скрипт нужно сделать? Антивирь я уже удалил (почти, система при его удалении зависла, но сейчас не видит даже библиотек))). Просто я на 4 часа как задержался на работе, ждав ваших рекомендаций. напишите в форуме какой скрипт выполнить и завтра в 12-30 по вашему, я отправлю вам логи. Пожалуйста, поддержите. Очень важно! Как я говорил, это не просто личный комп, это комп МИДовской системы
Спасибо заранее. Если что, напишите сколько должны! Спасибо!
-
сделайте три лога .... посмотрим .... после будут рекомендации ...
-
-
Junior Member
- Вес репутации
- 59
Сделал логи. Высылаю. Только у меня после первого сканирования появился ещё virusinfo_cure.zip, незнаю нужен ли он, но прикреплять пока не буду.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tmfeb26.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\_sv_.sy','');
QuarantineFile('c:\windows\system32\yandex.dll','');
QuarantineFile('C:\WINDOWS\system32\windrv.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\_sv_.sy');
BC_DeleteSvc('Ntfscore');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 59
готово!
Добавлено через 28 минут
я могу пока поставить антивирус, а то без защиты страшновато)))) Сейчас вот просканил онлайн Агавой - нашел 2-х шпиёнов
Добавлено через 38 минут
отослал, но что-то тишина, может не так отослал?
Последний раз редактировалось SilverUnreal; 29.02.2008 в 15:37.
Причина: Добавлено
-
Мы ждем ответа из вирлаба
Последний раз редактировалось akoK; 29.02.2008 в 16:01.
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 59
-
tmfeb26.exe_ - Trojan.Win32.Samsa.aa,
yandex.dll - Trojan-Downloader.Win32.Small.hsl
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\tmfeb26.exe');
DeleteFile('c:\windows\system32\yandex.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ....
-
-
Junior Member
- Вес репутации
- 59
Выполнил повторную проверку, высылаю логи. Кажется всё отлично, зараза побеждена!
virusinfo_syscheck.zip
hijackthis.log
virusinfo_syscure.zip
-
ничего подозрительного ....
осталось авз- Мастер поиска и устранения проблем - выбрать все проблемы устранить ..
-
-
Junior Member
- Вес репутации
- 59
Спасибо ОГРОМНОЕ! Все отлично. Вы молодцы!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\tmfeb26.exe - Trojan.Win32.Samsa.aa (DrWEB: BackDoor.Mask)
- c:\\windows\\system32\\yandex.dll - Trojan-Downloader.Win32.Small.hsl
-