Подозрение на RootKit

Printable View

31.10.2007, 17:58
EgorovEgor

Подозрение на RootKit

Еще раз здравствуйте. Еще один комп полечил от вирусов с помощью CureIt, но avz продолжает ругаться на kernel32.dll и advapi32.dll. Посмотрите пожалуйста.
31.10.2007, 18:04
PavelA

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system.exe
O4 - HKLM\..\Run: [svcroot] C:\WINDOWS\system32\svcroot.exe
O4 - HKCU\..\Run: [svcroot] C:\WINDOWS\system32\svcroot.exe
[/CODE]

2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('btasv.dll','');
QuarantineFile('C:\WINDOWS\system.exe','');
QuarantineFile('C:\WINDOWS\system32\svcroot.exe','');
BC_DeleteFile('C:\WINDOWS\system32\svcroot.exe');
BC_DeleteFile('C:\WINDOWS\system.exe');
BC_DeleteFile('btasv.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
31.10.2007, 18:29
EgorovEgor

Карантин закачал.
Файл сохранён как 071031_102801_virus_47289f0184ce0.zip
Размер файла 88001
MD5 cd8fd498544d6ccfe6bfcf81c065102e

Сейчас сделаю новые логи.
31.10.2007, 18:46
EgorovEgor

Сделал новые логи, вроде все чисто.
СПАСИБО!!!
31.10.2007, 19:01
V_Bond

в логах чисто ... осталось подчистить мусор ...
выполните скрипт...
[code]
begin
DeleteFile('btasv.dll');
DelCLSID('4F9AB7F3-DE3D-4bce-B932-A5F4E94F4E6D');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
31.10.2007, 19:07
PavelA

Nod32 этого зверя не знает.
C:\WINDOWS\system32\svcroot.exe - Trojan-Proxy.Win32.Small.ez(Касперский)
Второй тот же самый.

профиксить:
O2 - BHO: Flash Module - {4F9AB7F3-DE3D-4bce-B932-A5F4E94F4E6D} - btasv.dll (file missing)
22.02.2009, 02:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system.exe - [B]Trojan-Proxy.Win32.Small.ez[/B] (DrWEB: Trojan.MulDrop.14053)[*] c:\\windows\\system32\\svcroot.exe - [B]Trojan-Proxy.Win32.Small.ez[/B] (DrWEB: Trojan.MulDrop.14053)[/LIST][/LIST]