Hacktool.Rootkit, digeste.dll and Trojan.Download

**gatekpr** · 20.03.2009, 12:33

Здравствуйте. Прошу помощи в нейтрализации заразы.

История: Симантек закарантинил Hacktool.Rootkit.
Прогнал актуальный CureIt, который удалил digeste.dll.
Загрузил с LiveCD c DrWeb-ом, удалил темпы, кэши браузеров, подключил кусты реестра HKLM и HKCU и в Run удалил ключи самозванцев, след digeste.dll. Запустил DrWeb (правда с базами января) и прогнал полное сканирование с удалением найденного.
После перезагрузки симантек опять закарантинил Hacktool.Rootkit и сообщил о массовой рассылке писем.

Далее всё делал по оффлайн-инструкции этого форума.
Прогон обновлённого CureIt удалил Trojan.Download.24465 (4DEE4A21.VBN, 4DEE4A0C.VBN, 4BC64EAC.VBN, 4BC64EC1.VBN)
и из _restore A0062437.dll Trojan.Download.32163.

Очень расчитываю на вашу помощь, уважаемые Хелперы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 20.03.2009, 12:42

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{EA982585-D249-40C8-A368-C2BE7944ABC2}');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\klhlib.dll','');
 QuarantineFile('C:\Documents and Settings\ws1\.exe','');
 QuarantineFile('c:\documents and settings\ws1\ws1.exe','');
 TerminateProcessByName('c:\documents and settings\ws1\ws1.exe');
 DeleteFile('c:\documents and settings\ws1\ws1.exe');
 DeleteFile('C:\Documents and Settings\ws1\.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\klhlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**gatekpr** · 20.03.2009, 13:35

Спасибо за быстрое реагирование!
Скрипт выполнил, логи прикрепляю.
Карантин тоже.

**PavelA** · 20.03.2009, 13:36

Карантин отсюда убрать. присылать через http://virusinfo.info/upload_virus.php?tid=42108

**gatekpr** · 20.03.2009, 13:44

PavelA, спасибо за поправку. Убрал. Через верхнюю ссылку уже прикреплял сразу после предыдущего сообщения. Повторить?
Файл сохранён как 090320_133530_virus_49c37172f3f91.zip
Размер файла 30977
MD5 c9650c714db8d3a52cdc1d9b784b5aa5

**Rene-gad** · 20.03.2009, 16:49

Ничего подозрительного в логах.
Поставьте Сервис Пак 3, возможно потребуется активация системы, и последующие патчи.
Установите Интернет Эксплорер 7 или 8
Обновите Адоби Ридер (версия 9.1)

**gatekpr** · 20.03.2009, 17:10

Огромное спасибо Гриша, Rene-gad! Оперативно и эффективно восстановили работоспособность. Второй год советую это коммьюнити всем знакомым.

Нужна ли проверка из-под двух других эккаунтов компьютера?

**PavelA** · 20.03.2009, 22:52

Если AVZ недавно качали, то не нужна. Лучше полная проверка CureIt или AVPTool

**CyberHelper** · 21.03.2009, 22:52

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\ws1\ws1.exe - Trojan.Win32.Rabbit.m ( BitDefender: Trojan.Dropper.Kobcka.Gen.1 )

Hacktool.Rootkit, digeste.dll and Trojan.Download (заявка № 42108)

Опции темы

Hacktool.Rootkit, digeste.dll and Trojan.Download

Итог лечения

Похожие темы

Win32:Trojan, или Hacktool.Rootkit

Hacktool.Rootkit и Trojan.Horse

Hacktool.Rootkit Trojan.Dropper

Прошу Помочь! HackTool.Rootkit+Trojan.Dropper

Norton находит Trojan.ByteVerify,Hacktool.Rootkit и много других вирусов

Метки для этой темы

Ваши права в разделе