руткит hxdef100.exe

Printable View

23.12.2008, 20:02
geron2008

Вложений: 3

руткит hxdef100.exe

У кого то такая проблема здсь была...
и до меня добрался этот руткит и усердно не хочет уйти с моего жесткого диска.
выкладываю, что заметили антивирусники
23.12.2008, 20:21
V_Bond

деинсталируйте аутпост.... активируйте AVZPM и повторите логи avz
23.12.2008, 20:47
geron2008

у меня кажется это не катит.
Если я аутпост удалю, то, кажется, после перезагрузки компа этот вирус мне не даст запустить AVZ и в интернете грузить страницы тем более или нет ?
23.12.2008, 21:14
V_Bond

вот антирукит авз он точно давит , а от зловреда проникшего на пк он не помошник ....
24.12.2008, 11:52
geron2008

Вложений: 3

[QUOTE=V_Bond;325766]вот антирукит авз он точно давит , а от зловреда проникшего на пк он не помошник ....[/QUOTE]

Outpost удалил с компьютера.
Выкладываю новые файлы, как просили
24.12.2008, 17:28
V_Bond

лог [url]http://www.gmer.net/index.php[/url] сделайте
24.12.2008, 19:22
geron2008

Вложений: 1

[QUOTE=V_Bond;326135]лог [url]http://www.gmer.net/index.php[/url] сделайте[/QUOTE]

Лог сделал программой GMER 1.0.14.
Высылаю на обозрение
24.12.2008, 20:23
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Windows\System32\hx.exe');
DeleteFile('C:\Windows\System32\hxdef100.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
что с проблемами ?
24.12.2008, 23:23
geron2008

Спасибо ! Пока лечимся
Маленький вопрос по AVZ..
каждый раз в протоколе пишет, что у меня работают потенциально опасные службы:
"к ПК разрешен доступ анонимного пользователя"
"Разрешена отправка приглашений удаленному помощнику" . Как их вырубить, что -то их в службах не замечаю ?
25.12.2008, 04:42
Aleksandra

[quote=geron2008;326243]каждый раз в протоколе пишет, что у меня работают потенциально опасные службы:
"к ПК разрешен доступ анонимного пользователя"
"Разрешена отправка приглашений удаленному помощнику" . Как их вырубить, что -то их в службах не замечаю ?[/quote]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.[/code]
25.12.2008, 19:11
geron2008

[QUOTE=Aleksandra;326305][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.[/code][/QUOTE]

Спасибо вам ! Помогло !
Еще ругается на службу "Разрешен административный доступ к локальным дискам". че то не пойму - доступ зачем вырубать ?
26.12.2008, 03:43
Aleksandra

SSDP и административный доступ к дискам можно запросто отключить.

[quote=geron2008;326599]Еще ругается на службу "Разрешен административный доступ к локальным дискам". че то не пойму - доступ зачем вырубать ?[/quote]
Например, заходят к Вам под админовским доступом на компьютер и делают, что хотят - из серии блокировка реестра, диспетчера задач, установки программ и т. д.

Если не нужно:

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
SetServiceStart('SSDPSRV', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.[/code]
26.12.2008, 22:35
geron2008

Вложений: 3

[QUOTE=V_Bond;326200]выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Windows\System32\hx.exe');
DeleteFile('C:\Windows\System32\hxdef100.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
что с проблемами ?[/QUOTE]

Большое спасибо ! Щас на жестком диске намека на этот руткит не замечаю пока. Но AVZ находит еще какие то вирусы...
Выкладываю на обозрение
26.12.2008, 22:40
geron2008

[QUOTE=Aleksandra;326724]SSDP и административный доступ к дискам можно запросто отключить.

Например, заходят к Вам под админовским доступом на компьютер и делают, что хотят - из серии блокировка реестра, диспетчера задач, установки программ и т. д.

Если не нужно:

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
SetServiceStart('SSDPSRV', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.[/code][/QUOTE]

Может глупый вопрос, но тут надо понимать вход под админовским доступом на мой компьютер моих доверенных пользователей когда меня нет за компом или юзеры с сети, укравшие типа мои пароли ?
Ваш код это когда разрешен доступ ?
Спасибо.