-
подозрение на Rootkit.Win32.Podnuha.zx и другие...
Появился лишний трафик, NOD32 и DRWEB не помогают
AVZ ругается на вот эти файлы
C:\WINDOWS\system32\advapi3.dll >>> подозрение на Rootkit.Win32.Podnuha.zx
C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker
посмотрите пожалуйста логи
Последний раз редактировалось Anton_Petrenko; 21.11.2008 в 22:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
Если autorun.bat - Ваш, можете не фиксить.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat,
O20 - Winlogon Notify: pcixmm - pcixmm.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\advapi3.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winot04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn71.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winio26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh03.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe25.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\advapi3.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winxe25');
BC_DeleteSvc('Winvb72');
BC_DeleteSvc('Winrw83');
BC_DeleteSvc('Winpt58');
BC_DeleteSvc('Winot04');
BC_DeleteSvc('Winmr26');
BC_DeleteSvc('Winkp37');
BC_DeleteSvc('Winkp15');
BC_DeleteSvc('Winjn71');
BC_DeleteSvc('Winjn25');
BC_DeleteSvc('Winio26');
BC_DeleteSvc('Wingk04');
BC_DeleteSvc('Winbh03');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Вроде стало нормально.
Вот свежие логи.
Последний раз редактировалось Anton_Petrenko; 21.11.2008 в 22:41.
-
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm58.sys','');
DeleteService('Winhm58');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm58.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winhm58');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Карантин закачал
Свежие логи сделал
Последний раз редактировалось Anton_Petrenko; 21.11.2008 в 22:41.
-
В логах ничего плохого не вижу.
Сервис Пак 3 нужно поставить. Возможно потребуется активация системы.
-