Показано с 1 по 9 из 9.

Компьютер живет своей жизнью (Hacktool.Rootkit) (заявка № 44795)

  1. #1
    Junior Member Репутация
    Регистрация
    25.04.2009
    Сообщений
    5
    Вес репутации
    55

    Thumbs up Компьютер живет своей жизнью (Hacktool.Rootkit)

    Приветстсвую Уважаемые! Спасибо за то, что Вы есть!
    Из фактических наблюдений:
    1) Симантик при загрузке системы, по ходу работы в Интернете, иногда без каких-либо моих действий отлавливает файлы с Hacktool.Rootkit.
    2) происходит самопроизвольное копирование на все подключаемые съемные носители файлов autorun.exe и autorun.inf
    3) самопроизвольно создаются и хаотично запускаются файлы Cudo Romantio.exe
    4) svchost.exe периодически вылетает (без очевидных последствий)

    Возможно ли что-то сделать? Заранее благодарю!
    Роман Н.К. (Cudo Romantio)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Cudo Romantio\Application Data\~.exe,
    O4 - HKLM\..\Run: [System] C:\WINDOWS\0x005.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\CUDORO~1\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [] C:\WINDOWS\system32\config\systemprofile\.exe /i
    O4 - HKCU\..\Run: [Cudo Romantio] C:\Documents and Settings\Cudo Romantio\Cudo Romantio.exe /i
    O20 - Winlogon Notify: atietaxx - atietaxx.dll (file missing)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\Documents and Settings\Cudo Romantio\Application Data\~.exe','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\.exe','');
     QuarantineFile('C:\WINDOWS\0x005.exe','');
     QuarantineFile('C:\Documents and Settings\Cudo Romantio\Cudo Romantio.exe','');
     QuarantineFile('C:\DOCUME~1\CUDORO~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
     DeleteFile('C:\DOCUME~1\CUDORO~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\Cudo Romantio\Cudo Romantio.exe');
     DeleteFile('C:\WINDOWS\0x005.exe');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\Documents and Settings\Cudo Romantio\Application Data\~.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('acpi32');
     BC_DeleteSvc('ati64si');
     BC_DeleteSvc('fips32cup');
     BC_DeleteSvc('nicsk32');
     BC_DeleteSvc('securentm');
     BC_DeleteSvc('ws2_32sik');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=44795).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    25.04.2009
    Сообщений
    5
    Вес репутации
    55
    Спасибо! Сделал все так, как было сказано. Карантин отправил. Прилагаю логи.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
    BC_ImportDeletedList;
     BC_DeleteSvc('port135sik');
     BC_DeleteSvc('netsik');
     BC_DeleteSvc('i386si');
     BC_DeleteSvc('FCI');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44795
    Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    25.04.2009
    Сообщений
    5
    Вес репутации
    55
    После последнего скрипта - карантин пуст. Логи прилагаю.
    Факты: никаких видимых проявлений заразы (в том числе и из перечисленного в первом сообщении) не происходит. Однако, Ситмантик отловил Trojan Horse в файле uti2mzq2.sys дважды и поместил их в изолятор.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ситмантик отловил Trojan Horse в файле uti2mzq2.sys дважды и поместил их в изолятор.
    Раз Симантек отловил, значит он уже не опасен.
    В логах больше ничего подозрительного.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    25.04.2009
    Сообщений
    5
    Вес репутации
    55
    Спасибо огромное, Великие Люди!
    То, что Вы делаете - большое доброе дело!

    Спасибо,
    с уважением Роман Н.К. (Cudo Romantio)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пожалуйста! Заходит к нам еще

    Забыл добавить: рекомендуется установить SP3 и последующие обновления.
    I am not young enough to know everything...

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\cudo romantio\cudo romantio.exe - Trojan-Dropper.Win32.Agent.anty ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Generic.1757627 )
      2. c:\windows\system32\config\systemprofile\.exe - Trojan-Dropper.Win32.Agent.anty ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Generic.1757627 )
      3. c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.afjf ( BitDefender: Trojan.Ozdok.F )


  • Уважаемый(ая) Cudo Romantio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Компьютер живет своей жизнью.
      От chepetacka в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 13.06.2010, 13:48
    2. Компьютер живет своей жизнью
      От Дмитрий_До в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 31.03.2010, 17:20
    3. Компьютер живет своей жизнью
      От ScorpioNik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.10.2009, 10:18
    4. ПК живет своей жизнью
      От bo4karev в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.03.2009, 02:42
    5. Компьютер живет своей жизнью!!!
      От arkhipov_yuri в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.02.2009, 09:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00391 seconds with 20 queries