-
Junior Member
- Вес репутации
- 59
Hacktool.Rootkit
Доброго времени дня. Помогите пожалуйста избавиться от гада. Компьютер проверял и касперским, и вебом и симантеком ничего не помогло. АВЗ нашел с проверками кое чего ещё. При загрузке компьютера повторяется все заного(много окошек от симантека об обнаружении вируса, о его исправлении, о обнаружении каких то писем)
Последний раз редактировалось elpago; 05.06.2009 в 14:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено --- срочно отключить.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
QuarantineFile('C:\Documents and Settings\LocalService\.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteService('systemntmi');
QuarantineFile('port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('nicsk32.sys','');
DeleteService('nicsk32');
DeleteService('fips32cup');
QuarantineFile('fips32cup.sys','');
DeleteService('amd64si');
QuarantineFile('amd64si.sys','');
QuarantineFile('acpi32.sys','');
DeleteService('acpi32');
DeleteService('ws2_32sik');
QuarantineFile('ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
TerminateProcessByName('c:\documents and settings\juliy\juliy.exe');
QuarantineFile('C:\Documents and Settings\juliy\juliy.exe','');
DeleteFile('C:\Documents and Settings\juliy\juliy.exe');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('ws2_32sik.sys');
DeleteFile('acpi32.sys');
DeleteFile('amd64si.sys');
DeleteFile('fips32cup.sys');
DeleteFile('nicsk32.sys');
DeleteFile('port135sik.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\systemntmi.sys');
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам
Последний раз редактировалось PavelA; 05.06.2009 в 11:25.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил, высылаю новые логи...
карантин отправил...
Последний раз редактировалось elpago; 05.06.2009 в 14:33.
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('netsik');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить станд. скрипт №2
Прислать лог.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
Я удовлетворен логом. Лечение закончено.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\juliy\juliy.exe - Trojan.Win32.Rabbit.ea ( DrWEB: Trojan.Inject.5812 )
- c:\windows\system32\calc.ifo - Trojan-Downloader.Win32.Small.jvg ( DrWEB: Trojan.DownLoad.38281 )
-