подозрение на Rootkit.Win32.Podnuha.zx и другие...
Появился лишний трафик, NOD32 и DRWEB не помогают
AVZ ругается на вот эти файлы
C:\WINDOWS\system32\advapi3.dll >>> подозрение на Rootkit.Win32.Podnuha.zx
C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker
посмотрите пожалуйста логи
Последний раз редактировалось Anton_Petrenko; 21.11.2008 в 22:41.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
Если autorun.bat - Ваш, можете не фиксить.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat, O20 - Winlogon Notify: pcixmm - pcixmm.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\advapi3.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt58.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winot04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp37.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winio26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh03.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbh03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingk04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winio26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjn25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjn71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmr26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winot04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpt58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxe25.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\advapi3.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winxe25'); BC_DeleteSvc('Winvb72'); BC_DeleteSvc('Winrw83'); BC_DeleteSvc('Winpt58'); BC_DeleteSvc('Winot04'); BC_DeleteSvc('Winmr26'); BC_DeleteSvc('Winkp37'); BC_DeleteSvc('Winkp15'); BC_DeleteSvc('Winjn71'); BC_DeleteSvc('Winjn25'); BC_DeleteSvc('Winio26'); BC_DeleteSvc('Wingk04'); BC_DeleteSvc('Winbh03'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Вроде стало нормально.
Вот свежие логи.
Последний раз редактировалось Anton_Petrenko; 21.11.2008 в 22:41.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm58.sys',''); DeleteService('Winhm58'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm58.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winhm58'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи начиная от п.10 правил.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Карантин закачал
Свежие логи сделал
Последний раз редактировалось Anton_Petrenko; 21.11.2008 в 22:41.
В логах ничего плохого не вижу.
Сервис Пак 3 нужно поставить. Возможно потребуется активация системы.
Уважаемый(ая) Anton_Petrenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
