Коллеги, помогите вылечить Rootkit.
Symantec-ом прошелся, восстановление системы выключил.
Вопрос в тему, а есть ли способы борьбы с такой заразой в сети. Лучше естественно профилактические...
Как я уже понял, Symantec не помогает... ((
Printable View
Коллеги, помогите вылечить Rootkit.
Symantec-ом прошелся, восстановление системы выключил.
Вопрос в тему, а есть ли способы борьбы с такой заразой в сети. Лучше естественно профилактические...
Как я уже понял, Symantec не помогает... ((
Пофиксить в HiJack
[code] F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo before1main
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\sorry.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\mlhost.exe
O4 - HKLM\..\Run: [systme] C:\WINDOWS\system32\6A.exe
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [sms] C:\WINDOWS\mkchik.exe [/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\6A.exe','');
QuarantineFile('C:\WINDOWS\sorry.exe','');
TerminateProcessByName('c:\windows\system32\mlhost.exe');
QuarantineFile('c:\windows\system32\mlhost.exe','');
TerminateProcessByName('c:\windows\mkchik.exe');
QuarantineFile('c:\windows\mkchik.exe','');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('c:\windows\mkchik.exe');
DeleteFile('c:\windows\system32\mlhost.exe');
DeleteFile('C:\WINDOWS\sorry.exe');
DeleteFile('C:\WINDOWS\system32\6A.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
ExecuteREpair(16);
ExecuteREpair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Карантин отправил, логи ниже.
Сами блокировали?
[QUOTE]>> Заблокировано изменение свойств экрана
>> Заблокирована закладка Рабочий стол в окне свойств экрана
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирована закладка Параметры в окне свойств экрана
>> Заблокирована закладка Оформление в окне свойств экрана
>> Internet Explorer - заблокирована настройка домашней страницы
>> Заблокированы настройки системы Windows Update[/QUOTE]
Да, это Групповые политики в домене..
Что с проблемами?
Вроде бы все нормально.
Спасибо! ))
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.arkx[/B] ( DrWEB: Win32.HLLW.Autoruner.6815, BitDefender: Gen:Trojan.Heur.GM.00488160A0 )[*] c:\windows\mkchik.exe - [B]Trojan-Dropper.Win32.Agent.avoi[/B] ( BitDefender: Gen:Trojan.Heur.30A45B7D7D )[*] c:\windows\system32\calc.ifo - [B]Trojan-Downloader.Win32.Small.jyu[/B][*] c:\windows\system32\mlhost.exe - [B]Trojan-Clicker.Win32.Delf.clz[/B] ( DrWEB: Trojan.Click.26134 )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.yvq[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]