наверно Rootkit

Printable View

11.09.2007, 16:20
mirage11

Вложений: 3

наверно Rootkit

Не могу даже определить что за вирус, NOD32 - молчит, drweb_cureit тоже. поначалу svhost.exe постаянно кудато ломился.
искал в нете наткнулся на вот это
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2007-082818-0250-99&tabid=2[/url]
вроде похоже, только не получаеться ничего удалить.
11.09.2007, 16:33
Bratez

Ничего похожего на описанное по ссылке я у вас не увидел.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnceEx','Title');
QuarantineFile('C:\WINDOWS\Gtwatch.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
На всякий случай сделайте [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог AVZ[/URL].
11.09.2007, 16:37
PavelA

UnHackMe Rootkit ставили? Какие-то непонятные ее следы в реестре видны.
11.09.2007, 16:59
mirage11

Вложений: 2

Функция NtWriteVirtualMemory (115) перехвачена (8057C123->F6250BE0), перехватчик D:\2\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован

и так каждый раз...
11.09.2007, 17:12
mirage11

Ставил... Он вообше сказал что все ОК.
после удаления только лог остался
Date:11.09.2007 Time:10:05:55
Error CreateFile DRV_NAME. Used in openDriver function.
Date:11.09.2007 Time:10:05:55
Could not open UnHackMeDRV driver.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

а еще вот, в фаерволе -
localhost:any 0:RAWSOCKET - не могу зактыть
11.09.2007, 17:13
Bratez

Файл в карантине чистый.
Больше ничего подозрительного нет.
[QUOTE]Функция NtWriteVirtualMemory (115) перехвачена (8057C123->F6250BE0), перехватчик D:\2\PROGRA~1\[COLOR="Red"]Agnitum\OUTPOS[/COLOR]~1\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован[/QUOTE]
Посмотрите внимательно. Догадываетесь, кто у вас перехватчик? ;)
11.09.2007, 17:52
mirage11

Спасибо
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]