Здравствуйте !
Пытаюсь избавиться от Hacktool.RootKit.
Обычное обновление Symantec Antivirus не помогает. Даже не видит.
Стал делать, как предложено на данном сайте - поэтому прикладываю логи.
Спасибо за помощь.
Здравствуйте !
Пытаюсь избавиться от Hacktool.RootKit.
Обычное обновление Symantec Antivirus не помогает. Даже не видит.
Стал делать, как предложено на данном сайте - поэтому прикладываю логи.
Спасибо за помощь.
Где Симантек находил subj?
В AVZ выполнить скрипт:
После перезагрузки прислать карантин через ссылку вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ShowWnd.exe',''); QuarantineFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe',''); BC_DeleteFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe'); DeleteFile('c:\docume~1\ddb\locals~1\temp\winlogon.exe'); ExecuteSysClean; BC_ImportAll; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Прислать также boot_clr.log из директории AVZ.
З.Ы. Пришла пора подумать о смене антивируса.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде как в DefLib.sys при загрузке компа...
Ща попробуем сделать, что прописал доктор...
И какой же анивирус стоит установить ?
Последний раз редактировалось PavelA; 30.07.2007 в 16:00. Причина: Добавлено сообщение
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все анализы сдал...
Последний раз редактировалось PavelA; 30.07.2007 в 18:25. Причина: Добавлено сообщение
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Дело в том, что после начала диагностики проблема частично исчезла, например симантек перестал пытаться отправлять рассылку через свой как-бы прокси.... и deflib.sys ghb загрузке уже не детектит...
зато щас невозможно выгрузить симентек - меню не активно, а при отключении автоматической защиты она через 2 сек включается сама...
а вот что пишет AVZ при попытке довабления файла в карантин:
Ошибка карантина файла "deflib.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\deflib.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\deflib.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
В защищенном режиме с отключенным хотя бы на время антивирусом
выполнить скрипт:
Ежели ошибок не будет, то прислать карантин.Код:begin Quarantinefile('C:\WINDOWS\deflib.sys',''); RebootWindows(true); end.
А это по поводу того, который зверь:
F-Secure 6.70.13030.0 2007.07.30 Trojan-Proxy.Win32.Small.du
Ikarus T3.1.1.8 2007.07.30 Trojan-Proxy.Win32.Small.DU
Kaspersky 4.0.2.24 2007.07.30 Trojan-Proxy.Win32.Small.du
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.30 -
NOD32v2 2429 2007.07.30 Win32/TrojanProxy.Small.NAR
Norman 5.80.02 2007.07.30 W32/Smalltroj.BIOR
Panda 9.0.0.4 2007.07.30 Trj/Downloader.MDW
Rising 19.34.02.00 2007.07.30 Trojan.Win32.Agent.tsn
Prevx1 V2 2007.07.30 Generic.Malware
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 Trojan-Proxy.Win32.Small.du
Symantec 10 2007.07.30 -
TheHacker 6.1.7.158 2007.07.30 Trojan/Proxy.Small.du
VBA32 3.12.2.1 2007.07.30 Trojan-Proxy.Win32.Small.du
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот новые логи:
Точнее вот новые логи :
Добавился новый трабл - комп не хочет выключаться либо перезагружаться софтовой кнопкой...
Профиксить в HijackThis:
Код:O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ddb\LOCALS~1\Temp\winlogon.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделано. Что делать теперь ?
Добавлено через 2 минуты
И все-таки - какой на сег. день лучше поставить антивирус и файр-вол, чтобы при этом сильно не углубляться в тему, но и сократить до минимума будущие геморрои со всякими болячками ? бесплатный желательно или ломанный
Последний раз редактировалось Arigeen; 30.07.2007 в 20:21. Причина: Добавлено сообщение
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо!
Но ведь по-моему Касперский весьма жаден до ресурсов...
И где взять этот Comodo для ознакомления хотя бы ?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\ddb\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Puma.pz (DrWEB: Trojan.Packed.147)
Уважаемый(ая) Arigeen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.