Symantec Antivirus обнаружил Hacktool.Rootkit, но удалить полностью его не может. После перезагрузки появляется снова.
Наблюдается большой исходящий и входящий трафик при подключении к интернету.
Нужна помощь в очистке компа. Спасибо.
Printable View
Symantec Antivirus обнаружил Hacktool.Rootkit, но удалить полностью его не может. После перезагрузки появляется снова.
Наблюдается большой исходящий и входящий трафик при подключении к интернету.
Нужна помощь в очистке компа. Спасибо.
профиксите
[code]
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
QuarantineFile('C:\Program Files\Download Express\projectslist.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
Сделал. Файл карантина отправил.
C:\Program Files\Download Express\projectslist.exe
[I]eSafe 7.0.15.0 2007.08.29 Suspicious Trojan/Worm[/I] -подождем что скажет вирлаб ...
c:\docume~1\user\locals~1\temp\winlogon.exe -Trojan-Proxy.Win32.Small.fx
повторите логи ...
Новые логи
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Скрипт выполнил. Файл карантина отправил (Файл сохранён как 070901_165557_virus2_46d9dfed89a6a.zip)
Файл чистый.
Пофиксите в HijackThis:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,[/code]
Обратите внимание:
[code]
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Сделал. Устраню.
Большое спасибо!
[B]Ефим[/B], вот скрипт , который это
устранает:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
Файл для базы отправил.
Еще раз спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\user\\locals~1\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.fx[/B] (DrWEB: Trojan.Packed.147)[/LIST][/LIST]