Подозрение на руткит

Printable View

06.08.2008, 13:41
freeware

Вложений: 3

Подозрение на руткит

Здравствуйте. У мена такая проблема.

Перестала запускаться антивирусная программа (Антивирус Касперского 6). Выходит ошибка (типа "файл не науден проверьте правильность пути"). avp.exe на месте, но вирус не дает запуститься. Установил Avast 4.8. Обновил базы. Сообщает, что в памяти вирус и необходимо проверить компьютер при загрузке, но вирус не удаляет.

Windows (XP SP2) в безопасном режиме не грузится.

Поиск Windows не работает. Пуск --> Поиск вызывает окно поиска с пустым заголовком и без элементов управления в панели поиска слева (Помощник только виляет хвостом).

Скачал Dr. Web CureIt. Проверил компьютер. Нашел вирус (Tool.Prockill).
Удалил.

HiJackThis под стандартным именем не запускается.

Логи вложил.

P.S. файл hosts редактирован вручную, содержит только нужные данные.

Буду очень признателен. Спасибо
06.08.2008, 13:51
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('saruen');
QuarantineFile('C:\WINDOWS\system32\MicrSoft.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\saruen.sys','');
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\saruen.sys');
DeleteFile('C:\WINDOWS\system32\MicrSoft.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
06.08.2008, 14:32
freeware

Вложений: 3

Повторные логи.

Карантин загрузил.
06.08.2008, 14:36
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\MicrSoft.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(9 );
RebootWindows(true);
end.[/CODE]

Повторите логи с п.10 правил...
06.08.2008, 14:48
freeware

Вложений: 2

Выполнил скрипт.

Логи с п. 10.
06.08.2008, 14:53
Гриша

В логах чисто,жалобы есть?
06.08.2008, 14:56
freeware

Все отлично. Антивирус Касперского устанавливается. То что нужно.

Спасибо большое за помощь!
06.08.2008, 14:59
Rene-gad

Почитайте на досуге: [url]http://security-advisory.virusinfo.info/[/url] и установите Сервис Пак 3.
22.02.2009, 06:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\winamp\\plugins\\dsp_myproj.dll - [B]Trojan-Spy.Win32.Delf.dkm[/B][*] c:\\личные данные\\ильсур\\как делать трейнеры на делфи\\новая папка (2)\\project1.exe - [B]Trojan-Banker.Win32.Banbra.cjs[/B][*] c:\\личные данные\\ильсур\\новая папка (8)\\project1.exe - [B]Trojan-Downloader.Win32.Banload.tpk[/B][/LIST][/LIST]