Показано с 1 по 15 из 15.

BN??.TMP одолели! Rootkit.Win32.Agent.ikz (заявка № 42849)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29

    Thumbs up BN??.TMP одолели! Rootkit.Win32.Agent.ikz

    BN??.TMP одолели! KIS определяет их как Rootkit.Win32.Agent.ikz и вроде как не дает им ничего сделать. Но какой процесс их запускает? Полечил Dr.Web CureIt!'ом, прошелся KIS'ом.. Но есть сомнения, что затаилась зараза где-то..
    Посмотрите, пожалуйста..
    P.S. AVZ мне выдал почему-то две пары абсолютно одинаковых файлов-логов с разными именами, потому лишнего не высылаю..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     DeleteService('ksi32sk');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\N6f6K3Uq.sys','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp','');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\N6f6K3Uq.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29
    после выполнения скрипта и перезагрузки в карантине было пусто..

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29
    повторяю...
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29
    после этого скрипта в карантине также было пусто..
    вот логи..
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    "Пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)

    в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp');
     DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите пункты 2 и 3 диагностики.

  10. #9
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29
    Код:
    DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
    ну вот постепенно и до qip'овских dll добрались :-) они чем-то опасны?
    Ок, сегодня как до дома доберусь - выполню..

  11. #10
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29
    сделал..
    на этот раз всё почистил?
    Вложения Вложения
    Последний раз редактировалось sl_ap; 01.04.2009 в 13:04.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    В логах чисто...

  13. #12
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29
    (-: !!!ОБИСАПС МЕСВ

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    ну вот постепенно и до qip'овских dll добрались :-) они чем-то опасны?
    Ок, сегодня как до дома доберусь - выполню..
    так нужно. Потому что очень часто из-за этого лагает IE.
    Спасибо нажимают.

  15. #14
    Junior Member Репутация
    Регистрация
    30.03.2009
    Сообщений
    16
    Вес репутации
    29
    Цитата Сообщение от light59 Посмотреть сообщение
    так нужно. Потому что очень часто из-за этого лагает IE.
    К счастью я не пользуюсь IE :-)

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от sl_ap Посмотреть сообщение
    К счастью я не пользуюсь IE :-)
    к несчастью не все зловреды знают это посему пользуются его не закрытыми уязвимостями. ERGO: ИЕ нужно обновлять и патчить.

  • Уважаемый(ая) sl_ap, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    5. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00611 seconds with 24 queries