Win32:Rootkit-gen [Rtk] помогите избавиться

Printable View

30.03.2009, 22:22
Shadow Builder

Win32:Rootkit-gen [Rtk] помогите избавиться

Здравствуйте!

Собственна сабж. Аваст 4.8 Home постоянно обновляется, периодически вываливает окно что обнаружен Win32:Rootkit-gen [Rtk]. Иногда падает svchost.

Вот логи

[ATTACH]121974[/ATTACH]

[ATTACH]121975[/ATTACH]

[ATTACH]121976[/ATTACH]
30.03.2009, 22:27
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system\svhost.exe','');
DeleteFile('C:\WINDOWS\system\svhost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
30.03.2009, 22:35
Shadow Builder

Скрипт выполнил, карантин отправил
30.03.2009, 22:53
Aleksandra

Повторите логи.
30.03.2009, 23:21
Shadow Builder

[ATTACH]121987[/ATTACH]

[ATTACH]121988[/ATTACH]

[ATTACH]121989[/ATTACH]
30.03.2009, 23:25
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]
30.03.2009, 23:37
Shadow Builder

все сделал

вот лог
[ATTACH]121996[/ATTACH]
30.03.2009, 23:39
Aleksandra

Ничего зловредного в логах нет.
31.03.2009, 18:40
Shadow Builder

Комп простоял весь день включенным
прихожу и выжу что Avast обнаружил этого же руткита
что делать?
31.03.2009, 19:08
Aleksandra

Сделайте полный комплект логов по правилам.
02.04.2009, 21:03
Shadow Builder

извиняюсь за долгое молчание, за эти дни небыло замечено появления этого руткита, но когда делал сбор информации в AVZ svchost упал и комп завис, пришлось перезагружаться и заново запускать тест

[ATTACH]122752[/ATTACH]

[ATTACH]122753[/ATTACH]

[ATTACH]122754[/ATTACH]
02.04.2009, 21:32
Гриша

В логах чисто, установите SP3+all updates...
02.04.2009, 21:45
Shadow Builder

странно, а откуда он может взятся?
пока ждал вашего ответа, он опять появился в C:\Windows\System32\ файл "x"
аваст его грохнул

попробуем установить SP3
02.04.2009, 21:56
Гриша

Не надо пробовать надо ставить+ остальные апдейты, червь использует эксплойт к виндовой службе и без патча вам ничто не поможет...
03.04.2009, 21:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system\svhost.exe - [B]Trojan-Dropper.Win32.Agent.albv[/B] ( DrWEB: Tool.TcpZ, BitDefender: Packer.Krunchy.B )[*] c:\windows\system32\drivers\sysdrv32.sys - [B]Worm.Win32.AutoRun.ezt[/B] ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )[/LIST][/LIST]