Printable View
Подцепил руткит, стал жутко тормозить IE6 при открытии каждого нового окна. Плюс полезла на комп всякая разная живность :O. С ней более-менее мы с антивирусом справляемся, а вот с самим руткитом ничего поделать не можем :furious3:. Был вычислен файл, с помощью которого он проник на компьютер: FILE.EXE в директории TEMP. Dr.Web CureIt определяет его его как Trojan.NtRootKit.3523. Помогите пожалуйста, держаться нету больше сил... :dash1:
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\System32\servises.exe','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\servises.exe');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=56945[/url]).
Сделайте новые логи.
После выполнения скрипта симптомы (тормоза) прошли. Карантин выслал. Логи прикрепляю. Смущает, что AVZ снова нашел перехваченную функцию NtConnectPort, перехватчик не определен. Или это нормально?
Сорри, вот логи
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
[/code]
Заразы больше не видно, плохо только вот это:
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
Ставьте SP3 + последующие обновления и IE8.
Пофиксил. Все ок. Про XP SP1 и IE6 - задумываюсь, да все рука никак не поднимается :). Ну, придется, видно. Many thanks! :beer:
Я тут вычислил, откуда и как ко мне этот вирус проник. Нашел по крайней мере 9 зараженных web-серверов в рунете, которые распространяют вирусы через такой же механизм. Некоторые из них достаточно популярны. Ну и нашел 2 портала, на которых вирусы собственно хостятся. Эта инфа может быть кому-нибудь полезна, чтобы прекратить распространение?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]