Podnuha

Printable View

25.07.2008, 12:48
Darkmor

Podnuha

Всем привет, народ заражен файл
Файл C:\windows\system32\cliconf.dll, обнаружено: троянская программа 'Rootkit.Win32.Podnuha.ach'
стоит касперский 7 версии базы обновляются регулярно, написано что нужно прислать логи но я хз как это сделать лазил и что то не нашел. Скачал AVZ, пробовал скопировать скрипты из ранее созданных тем и ввести туда название своего файла, но не помогло(
25.07.2008, 12:52
Aleksandra

[QUOTE=Darkmor;259388]Скачал AVZ, пробовал скопировать скрипты из ранее созданных тем и ввести туда название своего файла, но не помогло([/QUOTE]
Хотите систему свалить? Прочитайте и выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] без всякой самодеятельности.
25.07.2008, 14:24
Darkmor

Вложений: 3

Извините все нашел, прикрепил
25.07.2008, 14:36
V_Bond

отключите антивирус ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll','');
BC_DeleteSvc('tcuykvfd');
QuarantineFile('C:\WINDOWS\system32\Drivers\hxgrujvh.dat','');
QuarantineFile('e:\evrika.pif','');
DeleteFile('C:\WINDOWS\system32\Drivers\hxgrujvh.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
25.07.2008, 15:25
Darkmor

Вложений: 3

Карантин прислал, сейчас пришлю логи
25.07.2008, 15:37
Darkmor

Спасибо всё вылечилось)))
25.07.2008, 15:40
V_Bond

C:\WINDOWS\system32\oobe\msoobe.exe - [B]Win32:Agent-XTH[/B]
C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll - [B]Adware.Burnfree.A[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{55FAF0F2-44D4-425F-B5F5-6B275B621EAB}');
DelBHO('{60BF5EE3-0105-4858-AD98-17C19F86B042}');
DeleteFile('C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll');
DeleteFile('C:\WINDOWS\system32\oobe\msoobe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
e:\evrika.pif - это что ?
25.07.2008, 16:49
Darkmor

Это cкачанный файл AVZ
25.07.2008, 17:05
Rene-gad

[QUOTE=Darkmor;259515]Это cкачанный файл AVZ[/QUOTE]Принято :) Теперь выполняем скрипт и повторные логи после скрипта - в студию.
25.07.2008, 21:01
Darkmor

Вложений: 3

Вот. Тут еще пару вопросов возникло:
1. Зачем прописывался 2 скрипт, если 1ым все удалилось
2. Где я мог словить этот вирус
25.07.2008, 21:11
Rene-gad

Пофиксите для порядка: [CODE]O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file)[/CODE]
[QUOTE=Darkmor;259639]
1. Зачем прописывался 2 скрипт, если 1ым все удалилось[/QUOTE] А кто сказал что все? И потом: Разве оба скрипта одинаковы по содержанию?
[QUOTE=Darkmor;259639]2. Где я мог словить этот вирус[/QUOTE]Неисповедимы пути господни :>
Книжку почитайте, чтобы не ловить: [url]http://security-advisory.virusinfo.info/[/url]
И Сервис Пак 3 ставить надо.
25.07.2008, 21:49
Darkmor

А если сервис пак 3 установить, проги заново переустанавливать не придется?
25.07.2008, 21:55
V_Bond

нет ...
22.02.2009, 06:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\hxgrujvh.dat - [B]Rootkit.Win32.Agent.aap[/B] (DrWEB: Trojan.NtRootKit.738)[/LIST][/LIST]