Машина заражена руткитом Cutwail (по терминологии McAfee). На машине стоит McAfee VirusScan Enterprise 8.5i. Монитор руткит не видит. Сканирование по требованию обнаруживает и удаляет, но затем мелварь инсталируется заново (при новом сканирование троян опять на месте и снова удаляется).
Второй стандартный скрипт выполнить (и приложить лог) сейчас не могу по объективным причинам. Остальные логи прикладываю.
Буду крайне благодарен за помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Выполнил все по алгоритму, единственное в чем отклонился - не отключил от локалки (так как занимаюсь этой машиной удаленно через внутренние ВПН каналы). Но в интернет машина доступа не имела (и не имеет до сих пор) ни по одному из протоколов - это абсолютно точно.
После прохода скрипта и перезагрузки, инициированной им ничего к сожалению не изменилось:
- папка карантина avz соответствующая сегодняшнему числу пуста;
- модуль простраства ядра Io30.sys тоже на месте в в новом логе avz (прикладываю его).
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Iou30.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Добавлено через 19 минут
Сообщение от grobuka
единственное в чем отклонился - не отключил от локалки
Эта рекомендация связана исключительно с отключением защитного софта, что необходимо для выполнения скриптов. Для АВЗ это не имеет значения.
Последний раз редактировалось Rene-gad; 04.07.2008 в 10:28.
Причина: Добавлено
Кажется поборол. Не доходили руки занятся этой машиной раньше, поэтому с таким таймаутом
В каратин выложить нечего, так как файл был удален IceSword-ом.
Большое спасибо всем оказавшим помощь!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: