При загрузке Symantec находит вирус Hacktool.Rootkit
[U][U]Также, некоторые програми не запускаются[/U][/U] , а Visual Studio - вылетает .
Printable View
При загрузке Symantec находит вирус Hacktool.Rootkit
[U][U]Также, некоторые програми не запускаются[/U][/U] , а Visual Studio - вылетает .
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('l:\windows\system32\riodrv.exe');
QuarantineFile('L:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('L:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('L:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KJQRAFIV\1[1].exe','');
DeleteFile('L:\WINDOWS\system32\riodrv.exe');
DeleteFile('L:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('L:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KJQRAFIV\1[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
новые логи :
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('L:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('L:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
BC_Importall;
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин.
Повторите пункты 2 и 3 диагностики.
Карантин отослал.
Файли из диагностики пункты 2 и 3:
Да, еще хочу сказать ,что обнаружил в L:\Program Files\Microsoft Common файл svchost.exe, ето троян ?
Ой, моя ошибка в предыдущем скрипте, не те пути :(
Выполните ещё раз скрипт
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('L:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('L:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('L:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('L:\WINDOWS\System32\sfcfiles.dll', 'L:\WINDOWS\System32\sfcfiles.bak');
CopyFile('L:\WINDOWS\System32\dllcache\sfcfiles.dll', 'L:\WINDOWS\System32\sfcfiles.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин пришлите.
[QUOTE]L:\Program Files\Microsoft Common файл svchost.exe, ето троян ? [/QUOTE]
Переименнуйте его во что угодно, заархивируйте его с паролем virus и пришлите по ссылке.
Пункт 2 диагностики повторите
Карантин отослал.
Пункт 2 диагностики
и подозрительной файл svchost.exe :
shotoneto_svchost.zip - из темы уберите!
Убирать в "Мой кабинет" - "Вложения"
В логах больше ничего плохого.
Файлик svchost.exe отправил куда надо за вас...
Спасибо за помощь! :)
shotoneto_svchost.zip - В файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Worm.Win32.AutoRun.apgb
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] l:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B][*] \shotoneto_svchost.exe - [B]Worm.Win32.AutoRun.apgb[/B][/LIST][/LIST]