На флешку записывает постоянно system.exe и autorun. При этом Symantec периодически находит HackTool.Rootkit в C:\TEMP.
Помогите, пожалуйста прогнать заразу...
Printable View
На флешку записывает постоянно system.exe и autorun. При этом Symantec периодически находит HackTool.Rootkit в C:\TEMP.
Помогите, пожалуйста прогнать заразу...
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Отправил. На самом деле я уже пытался его удалять до обращения к вам, но все оказалось не так просто, видимо... :?
Спасибо за оперативность.
Чуть не забыл логи... ;)
Чисто...
Был:
C:\Program Files\Microsoft Common\svchost.exe-[B]Trojan-Dropper.Win32.Agent.aglk [/B]
Не знаю, связано это как-то или нет, но через день перестал запускаться процесс explorer при запуске Windows....
Давайте свежие логи...
[quote=Гриша;346632]Давайте свежие логи...[/quote]
Дык, как бы мне их получить, логи эти, без эксплорера-то?:(
Вот новые логи. В общем, нету ярлычков, панели задач, кнопки пуск. Присылать все приходится через :censored:
Нужен еще лог syscure...
Все, я разобрался. Оставался ключ в реестре. Был прописан Debugger по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Ссылался на svchost в Program Files, которого мы удалили. И Без него эксплорер отказывался запускаться.
Всем спасибо!:094:
:(
Периодически после перезагрузки появляется ветка в реестре с Debugger'ом explorer.exe, которая ссылается на удаленный svchost.
Посмотрите, пожалуйста, откуда она берется. Восстановление системы отключено.
Выполните скрипт, карантин по правилам:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\a.sys','');
DeleteService('vsdatant');
DeleteFile('C:\WINDOWS\system32\Drivers\a.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачал. Когда выполнял скрипт первый раз, он заругался - но я не успел прочитать, комп ушел перезагружаться. После перезагрузки в карантине никого не было. Сделал скрипт 2-ой раз. На перезагрузке повис. Перезагрузил ресетом, после этого в карантине нашел две копии нужного файла.... :O
[QUOTE=RedRabbit;349222]Перезагрузил ресетом, после этого в карантине нашел две копии нужного файла.... :O[/QUOTE]
Это ini- файлы, а не те, которые мы искали. Логи повторите.
Есть...
Воспользуйтесь Gmer или IceSword и закарантиньте и пришлите нам этот a.sys
после этого выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('vsdatant', 4);
StopService('vsdatant');
DeleteFile('C:\WINDOWS\system32\DRIVERS\a.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\a.sys');
BC_DeleteSvc('vsdatant');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Gmer и IceSword этого файла не видят. В проводнике тоже не видно.
Давайте посмотрим новые логи.
Вот опять. Причем в этот раз ключ в реестр прописался как раз в момент перезагрузки между sys_cure и sys_check логами. Ключ я убил.