Hacktool.Rootkit

**elpago** · 05.06.2009, 10:30

Доброго времени дня. Помогите пожалуйста избавиться от гада. Компьютер проверял и касперским, и вебом и симантеком ничего не помогло. АВЗ нашел с проверками кое чего ещё. При загрузке компьютера повторяется все заного(много окошек от симантека об обнаружении вируса, о его исправлении, о обнаружении каких то писем)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 05.06.2009, 11:02

Восстановление системы: включено --- срочно отключить.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
 QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
 DeleteService('systemntmi');
 QuarantineFile('port135sik.sys','');
 DeleteService('port135sik');
 QuarantineFile('nicsk32.sys','');
 DeleteService('nicsk32');
 DeleteService('fips32cup');
 QuarantineFile('fips32cup.sys','');
 DeleteService('amd64si');
 QuarantineFile('amd64si.sys','');
 QuarantineFile('acpi32.sys','');
 DeleteService('acpi32');
 DeleteService('ws2_32sik');
 QuarantineFile('ws2_32sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
 TerminateProcessByName('c:\documents and settings\juliy\juliy.exe');
 QuarantineFile('C:\Documents and Settings\juliy\juliy.exe','');
 DeleteFile('C:\Documents and Settings\juliy\juliy.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('ws2_32sik.sys');
 DeleteFile('acpi32.sys');
 DeleteFile('amd64si.sys');
 DeleteFile('fips32cup.sys');
 DeleteFile('nicsk32.sys');
 DeleteFile('port135sik.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\systemntmi.sys');
 DeleteFile('C:\Documents and Settings\LocalService\.exe');
 DeleteFile('C:\WINDOWS\system32\calc.ifo');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам

**elpago** · 05.06.2009, 13:24

Скрипт выполнил, высылаю новые логи...
карантин отправил...

**PavelA** · 05.06.2009, 13:56

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('netsik');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Выполнить станд. скрипт №2
Прислать лог.

**elpago** · 05.06.2009, 14:31

Выполнил, вот лог...

**PavelA** · 05.06.2009, 15:38

Я удовлетворен логом. Лечение закончено.

**elpago** · 05.06.2009, 15:49

Спасибо.

**CyberHelper** · 06.06.2009, 15:49

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 30
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\juliy\juliy.exe - Trojan.Win32.Rabbit.ea ( DrWEB: Trojan.Inject.5812 )
2. c:\windows\system32\calc.ifo - Trojan-Downloader.Win32.Small.jvg ( DrWEB: Trojan.DownLoad.38281 )

Hacktool.Rootkit (заявка № 47274)

Опции темы