-
Junior Member
- Вес репутации
- 53
Проблемы с Rootkit.Kryptik.AF и trojan
Здравствуйте. Пару дней назад НОД обнаружил Rootkit.Kryptik.AF, по ряду файлов написал что очистка невозможна. После проверкой cureit еще троян удалил, далее cureit и NOD писали что вирусы не обнаружены, но комп тормозил очень сильно. Сегодня проверкой Tool Касперского еще какой-то троян попался. Ну и на последок, судя по созданному архивуvirusinfo_cure, AVZ также обнаружил подозрительные файлы. Помогите определить, содержит ли комп. вирусы и что делать. Заранее спасибо. Логи (за исключением virusinfo_cure) прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Samsung\Samsung New PC Studio\NPSMyExplorer.exe','');
QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Спасибо за быстрый ответ. Скрипт выполнил. Пункты 1-3 также. Новые логи прикрепляю. Не понял, какой карантин закачать, после выполнения скрипта или в AVZ после п.1-2.
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Samsung\Samsung New PC Studio\NPSMyExplorer.exe','');
QuarantineFile('C:\WINDOWS\fonts\services.exe','');
DeleteFile('C:\WINDOWS\fonts\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Здравствуйте. С Новым годом! Карантин закачал. Новые логи прикрепляю.
-
Пофиксить в Hijack следующие строки:
Код:
O4 - HKUS\S-1-5-18\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Default user')
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
QuarantineFile('C:\WINDOWS\fonts\services.exe','');
DeleteFile('C:\WINDOWS\fonts\services.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Здравствуйте. Профиксил. Выполнил скрипт. В конце выполнения скрипта появилось окно NOD и показало что убил вирус и сразу началась перезагрузка. Но комп. выключился, но не перезагрузился. Пункты 1-3 диагностики сделал. Логи прикрепляю
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\fonts\services.exe');
SysCleanAddFile('C:\WINDOWS\fonts\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Сделайте новые логи.
Последний раз редактировалось snifer67; 04.01.2010 в 11:36.
-
-
Junior Member
- Вес репутации
- 53
Здравствуйте. Новые логи. Терпения бы.
-
Пришлите этот файл: C:\WINDOWS\fonts\services.exe
Как правильно искать и присылать, см. здесь http://virusinfo.info/showthread.php?t=4567
Сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 53
Здравствуйте. По предложенному пути такого файла нет.C:\WINDOWS\fonts\services.exe Пробовал и через AVZ и через проводник (поиск)Файл services.exe есть в других директориях. Надо ли в связи с вышеизложенным делать лог MBAM?.
-
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Владелец\Application Data\avdrn.dat','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
-
-
Junior Member
- Вес репутации
- 53
Здравствуйте. Выполнил скрипт. карантин закачал. Далее удалил в МВАМ. При этом опять показало в результатах, что файл avdrn.dat заражен. Его не трогал.
-
Файл avdrn.dat--чистый, таков вердикт. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
К скорости претензий нет. Как получить полную уверенность, что комп. чист? (в смысле, надо ли что-то еще сканировать?) . 10-ку рекомендаций после лечения прочитал, обязательно потрачу время на повышение безопасности. Хотя ребенок по сети лазит, то фильм, то песенка, так что не удивлюсь, если опять прийдется за помощью обращаться. Спасибо.
Добавлено через 11 минут
При перезагрузке компа выдало сообщение, что память обратилась к какому то адресу, адрес не может может быть таким-то и ошибка приложения cvxhost.exe
Последний раз редактировалось larganka; 07.01.2010 в 01:03.
Причина: Добавлено
-
Сообщение от
larganka
При перезагрузке компа выдало сообщение, что память обратилась к какому то адресу, адрес не может может быть таким-то и ошибка приложения cvxhost.exe
Сделайте комплект логов.
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('cvxhost.exe','');
DeleteFile('cvxhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-