Rootkit.gen

Printable View

01.09.2009, 15:35
dredki

Вложений: 3

Rootkit.gen

Признаки болезни таковы, антивирус при загрузке ругается на обнаруженные вирусы Rootkit.gen, в основной массе расположенные в папке C:\WINDOWS\system32\drivers, а именно в файлах драйверов. При удалении инфицированных объектов слетают практически все устройства, нет ни сети, ни носителей, ни портов, при переустановке устройств - все возвращается на круги своя, устройства работают-антивирус ругается на полный зоопарк, кроме правда сети, та так и не работает. Поиск в безопасном режиме ничего не дает. Логи прилагаю. Надеюсь на Вашу помощь
01.09.2009, 15:51
PavelA

Выполнить:
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

Повторить логи.
01.09.2009, 16:49
dredki

Вложений: 3

Ситуация в видимых показателях не изменилась, полный набор тварей присутствует.
01.09.2009, 18:19
thyrex

[QUOTE='dredki;460169']Ситуация в видимых показателях не изменилась, полный набор тварей присутствует.[/QUOTE]Так ведь лечить не начинали еще :)

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\WINDOWS\System32\logon.exe','');
DeleteFile('C:\WINDOWS\System32\logon.exe');
DeleteFile('C:\Documents and Settings\Asal\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + сообщите поведение антивируса
02.09.2009, 09:37
dredki

Вложений: 3

Антивирус перестал ругаться, но сеть так и не заработала, все сетевые контроллеры определены с ошибкой и драйвера не обновляются. Логи и карантин прикладываю
02.09.2009, 21:32
drongo

надо ещё парочку файлов для карантина
[code]
begin
ClearQuarantine();
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\rserver30\rserver3.exe','');
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\System32\hidserv.dll','');
QuarantineFile('C:\WINDOWS\system32\rserver30\newtstop.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
карантин прислать.

насчёт настроек сети, у вас всё время был в настройках этот IP: 192.168.1.151?
Если не знаком, то пофиксить:[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F9678B-3CC9-4651-9882-415E3B1BA353}: NameServer = 192.168.1.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{58F9678B-3CC9-4651-9882-415E3B1BA353}: NameServer = 192.168.1.151
O17 - HKLM\System\CS2\Services\Tcpip\..\{58F9678B-3CC9-4651-9882-415E3B1BA353}: NameServer = 192.168.1.151
O17 - HKLM\System\CS3\Services\Tcpip\..\{58F9678B-3CC9-4651-9882-415E3B1BA353}: NameServer = 192.168.1.151
[/code]
03.09.2009, 09:17
dredki

Спасибо большое за помощь, справились собственными силами.
03.09.2009, 09:20
PavelA

Прислали бы файлы, которые [b]drongo[/b] просил.
04.09.2009, 09:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\logon.exe - [B]Trojan-Dropper.Win32.WormDrop.g[/B] ( DrWEB: Win32.HLLW.Autoruner.7491, BitDefender: Gen:Trojan.Heur.bu1@zWoTG!ci, AVAST4: Win32:Spyware-gen [Trj] )[/LIST][/LIST]