Знающий человек нашел руткит и он никак не может его побороть.
Помогите...
Printable View
Знающий человек нашел руткит и он никак не может его побороть.
Помогите...
-[B]Knopf[/B], вы перепутали [B]virusinfo_syscure.zip[/B] и [B]virusinfo_cure.zip[/B]...
нужно исправить
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
end.[/code]
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25082[/url] ).
Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.
[quote=kps;244688][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[code]begin
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
end.[/code]Пришлите карантин согласно приложению №3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] (загружать здесь: [URL]http://virusinfo.info/upload_virus.php?tid=25082[/URL] ).
Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.[/quote]
-оба авторана запускают некий [B]fun.xls.exe[/B], который по классификации KasperskyLab является Trojan.Win32.VB.atg
-посему, необходимо отыскать и удалить и [B]C:\autorun.inf[/B], и [B]D:\autorun.inf[/B], и [B]fun.xls.exe[/B]
Alex Plutoff, и что теперь делать?? не уж то сносить винду? *плачет*
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=kps;244688][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[code]begin
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
end.[/code]Пришлите карантин согласно приложению №3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] (загружать здесь: [URL]http://virusinfo.info/upload_virus.php?tid=25082[/URL] ).
Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.[/quote]
Да, Jef239 подзревал его. И что он имя меняет.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Алекс, C:\autorun.inf, или D:\autorun.inf, запускает iTunes....Когда я скачаиваю музыку на плеер.он у меня открывается...
[QUOTE=Knopf;244716]Да, Jef239 подзревал его. И что он имя меняет.[/QUOTE]
Зря подозревал :) Имя у него меняется - это известно. Если раздражает, то можно удалить эмулятор дисков (в чаcтности sptd.sys), тогда sp??.sys больше не появятся.
[quote=Knopf;244716]Alex Plutoff, и что теперь делать?? не уж то сносить винду? *плачет*
[SIZE=1][COLOR=#666686][B][I]Добавлено через 2 минуты[/I][/B][/COLOR][/SIZE]
Да, Jef239 подзревал его. И что он имя меняет.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Алекс, C:\autorun.inf, или D:\autorun.inf, запускает iTunes....Когда я скачаиваю музыку на плеер.он у меня открывается...[/quote]
-ещё раз... оба авторана запускают [B]fun.xls.exe [url]http://www.virustotal.com/ru/analisis/1cfbcd72c77fbe77cbecc093c8baeb01[/url][/B]
-я рекомендую[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\fun.xls.exe');
DeleteFile('D:\fun.xls.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки повторите логи
лог не создается, в протоколе - ошибка.
Удалось выполнить скрипт без этих строк:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Иначе писало :Unable Set Data for Display.
-вы, [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] в точности выполняете?..
[QUOTE=Knopf;244736]лог не создается, в протоколе - ошибка.[/QUOTE]
сделайте заново логи как в вашем первом сообщении ...
QIP не закрываю, для помощи по аське.
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
V_Bond, хорошо..сейчас
не удалось отключить восстановление Wndows ибо нет нужной вкладки.
Хм.... не хотят появляться логи.
-это из правил [QUOTE] 2. Перед проверкой желательно скачать [URL="ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe"]утилиту от DrWeb - CureIT![/URL] и проверить систему (имеется ввиду полная проверка всех дисков уже после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель защищённый от записи) уже из CD запустить утилиту)[URL="http://virusinfo.info/showthread.php?t=9279"]в безопасном режиме[/URL]. ~5 mb После этого следует просто перегрузиться ( обычный режим).[/QUOTE]
-а тут рекомендации от производителя утилиты: [url]http://freedrweb.com/[/url]
Я перезапустилась.Потом запустила 2 скрипт и вот что теперь у меня в логе:
Короче вот что теперь:
Сделала CureIt по 15ому посту.
Так же хотела спросить: 3 BHO без фалов - удалять их или нет.
Наши попытки их удалить не удались.
Не надо самодеятельности. Скажут - тогда и удалите. HijackThis тоже не всегда правильно существование файлов проверяет и раскрутку последовательностей CLSID делает..
в логах ничего плохого ....
выполните такой скрипт ...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
-никаких явных признаков виря в логах не заметил... похоже, система чистая... немного смущает тот факт, что не создаётся [B]virusinfo_syscure
-[/B]а кроме того, что ' Знающий человек нашел руткит' ещё какието жалобы есть?..
V_Bond, сделала скрипт..Что Вам отправить??? снова прогнать 3,2 стандартные скрипты плюс хижик???
Alex Plutoff, virusinfo_syscure создается после 2-го скрипта...
Ну...Уже нет жалоб...Комп выключается теперь сразу и не скрипит...
Ну, раз жалоб нет, будем считать лечение законченным.
Приатач лог и , после выполнения скриптов из 20ого поста:
7. Эвристичеcкая проверка системы
>>> Fautorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Этого не было на последнем исследовании.
встввте все свои флешки и сделайте новые логи иначе никогда не долечимся ....
-ну и установить приличный антивирус нужно...
V_Bond... Вставила..Просканила CureIT....Удалили и с плеера и с мобильного Fun.exe AUTORUN.INF....
Вот после 2-го скрипта...
в приведенном логе чисто ...
Спасибо Вам....
P.S. Не подскажите а где можно скачать хороший антивирусник?
пойти в магазин и купить коробчатую версию ... если ведете расчеты по интернету зайти на сайт антивирусной компании скачать антивирус и проплатить лицензию ...
V_Bond, ну а какой лучше Dr.Web или AVIRA или AVAS??? Или какие-нибудь другие?
Dr.Web и Касперский наиболее надежны ...
V_Bond спасибо.....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.aka[/B] (DrWEB: BackDoor.Generic.1480)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.aka[/B] (DrWEB: BackDoor.Generic.1480)[*] d:\\fun.xls.exe - [B]Virus.Win32.Texel.i[/B] (DrWEB: BackDoor.Generic.1480)[/LIST][/LIST]