Win32:Rootkit-gen[Rtk]

Printable View

02.03.2009, 15:48
DetectoR

Вложений: 3

Win32:Rootkit-gen[Rtk]

пользуюсь антивирусом Avast, вот он то и выдает переодически во время работы за компьютеров сообщение о том что:
1) В папке C:\WINDOWS\system32\[некое число].scr обнаружен вирус.
2) Имя вируса: Win32:Rootkit-gen[Rtk]
3) Тип вируса: Руткит.
ПРочитал инструкцию на вашем сайте, проверил в безопасном режиме утилитой касперского, но врезультате при обычной загрузке все равно вылезает это сообщение о заражении.
Помогите, пожалуйста разобраться как от него избавиться.
02.03.2009, 16:21
PavelA

Профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Выполнить:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\VDG3B.tmp','');
DeleteService('GarenaPEngine');
DeleteFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\VDG3B.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Сделать новые логи.
02.03.2009, 19:24
DetectoR

Вложений: 3

Сделал все как написано. Вот логи.
02.03.2009, 20:02
PavelA

Карантин пришлите через [url]http://virusinfo.info/upload_virus.php?tid=40806[/url]
02.03.2009, 20:22
DetectoR

Файл сохранён как 090302_202144_Quarantine_49ac15a895fc1.zip
Размер файла 59451
MD5 c5d529060a774435051be948c50e535f
02.03.2009, 20:50
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\81.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите пункт 2 диагностики...
02.03.2009, 22:42
DetectoR

Вложений: 1

сделал. вот лог от 2 пункта.
02.03.2009, 23:36
Гриша

Подождем ответа аналитиков...
03.03.2009, 20:11
DetectoR

ммм... а как долго ждать?
03.03.2009, 20:20
PavelA

Ответ прибыл:
81.scr_ - Backdoor.Win32.IRCBot.htv

Остальные чистые.
03.03.2009, 21:05
DetectoR

в одном из кодов AVZ этот файл был удален, т.е. проблема решена? Когда вылезало сообщение Avast`a о зарожении C:\WINDOWS\system32\[некое число].scr, т.е. число с расширением scr всегда менялось.
03.03.2009, 22:40
Гриша

Сейчас что-то беспокоит?
04.03.2009, 20:44
DetectoR

вспринцыпе пока проблем нет. Спасибо !
05.03.2009, 20:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\81.scr - [B]Backdoor.Win32.IRCBot.htv[/B]( DrWEB: BackDoor.IRC.Itan, BitDefender: Trojan.Peed.Gen )[/LIST][/LIST]