Junior Member
Вес репутации
62
Помогите грохнуть Rootkit.Win32.Agent.br
При проверке AVZ в safe mode получаю:
C:\WINDOWS\system32\drivers\_sv_.sy >>>>> Rootkit.Win32.Agent.br успешно удален.
Однако при повторном лечении все повторяется.
Symantec однозначно определяет:
Event: Threat Found!
Threat: Hacktool.Rootkit
File: C:\WINDOWS\system32\drivers\_sv_.sy
Location: C:\WINDOWS\system32\drivers
Однако и он ничего сделать не может. Ребут ничего не дает. Восстановление дисков отключено.
Замучился, помогите пожалуйста!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysconf.exe','');
QuarantineFile('C:\WINDOWS\system32\_sv_.exe','');
QuarantineFile('c:\windows\vm_sti.exe','');
QuarantineFile('c:\windows\vm303_sti.exe','');
DeleteFile('C:\WINDOWS\system32\_sv_.exe');
DeleteFile('C:\WINDOWS\system32\sysconf.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sysconf.exe
O23 - Service: Remote Administration Services (_sv_) - Unknown owner - C:\WINDOWS\system32\_sv_.exe
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
@ Maxim
Для удаления сервиса вставь команду:
BC_DelSvc('_sv_');
Фикс в HJ не срабатывает, если сервис запущен.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Для удаления сервиса вставь команду:
BC_DelSvc('_sv_');
В логах AVZ он значится только в автозапуске.
@Maxim См. лог Хиджака. Там этот файл в сервисах.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
AVZ Ругается на команду BC_DelSvc('_sv_');
HJ:
F2 - не видит такого
O23 - Service: Remote Administration Services (_sv_) - Unknown owner - C:\WINDOWS\system32\_sv_.exe (file missing)
@Nicadim Извини, что запутали. Мое письмо для Maxim.
Скрипт Maxima выполнили? Карантин закачали? Если да, то новые логи AVZ в студию.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
Для получения новых логов надо заново выполнить стандартные скрипты "...Для раздела Помогите" или достаточно скрипта Maxima ?
Извините за непродвинутость
Сначала выполнить скрипт Максима, затем загрузить получившийся карантин, а потом выполнить станд. скрипты из "Правил"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
Сообщение от
PavelA
Сначала выполнить скрипт Максима, затем загрузить получившийся карантин, а потом выполнить станд. скрипты из "Правил"
Готово
Вложения
AVZ Ругается на команду BC_DelSvc('_sv_');
Потому что правильно BC_Delete Svc
Файл _sv_.exe удален, а ключ службы в реестре остался.
Выполните скрипт:
Код:
begin
BC_DeleteSvc('_sv_');
BC_Activate;
RebootWindows(true);
end.
Что с _sv_.sy - все еще появляется?
I am not young enough to know everything...
sysconf.exe - убит и не доехал до карантина.
_sv_.exe - чистый, причем существующий. Сервис удалять не будем.
Зря его убили
Надо поискать _sv_.sy через AVZ. В логах его видно не было.
Последний раз редактировалось PavelA; 01.06.2007 в 18:07 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
Сообщение от
PavelA
sysconf.exe - убит и не доехал до карантина.
_sv_.exe - чистый, причем существующий. Сервис удалять не будем.
Надо поискать _sv_.sy через AVZ. В логах его видно не было.
Единственное слегка похожее на искомое C:\WINDOWS\Prefetch\_SV_.EXE-11CAAFD6.pf.
Не знаю что это. Выгружаю на всякий случай.
Junior Member
Вес репутации
62
Сообщение от
Bratez
Потому что правильно BC_
Delete Svc
Файл _sv_.exe удален, а ключ службы в реестре остался.
Выполните скрипт:
Код:
begin
BC_DeleteSvc('_sv_');
BC_Activate;
RebootWindows(true);
end.
Что с _sv_.sy - все еще появляется?
ОК. Выполнил.
_sv_.sy щас пощупаю всякими антивирусами.
Junior Member
Вес репутации
62
СПАСИБИЩЕ, братцы, кажется грохнули!
Сообщение от
PavelA
_sv_.exe - чистый, причем существующий. Сервис удалять не будем.
Зря его убили
Таки не зря! Теперь уже детектится как Backdoor.Win32.Agent.ago
Интуиция, Ватсон!
I am not young enough to know everything...
Сделайте ещё раз логи для контроля.
Junior Member
Вес репутации
62
Перепровериться не лишнее :)
Сообщение от
MaXim
Сделайте ещё раз логи для контроля.
Кстати, а что там за перехватчик такой может быть, который неопределен?
Вложения
Перепровериться не лишнее
И то правда! Так и болтается в реестре ключ автозапуска
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run, _sv_
Сделайте в AVZ - Сервис - поиск данных в реестре,
поищите по образцу _sv_ и удалите.
I am not young enough to know everything...
Junior Member
Вес репутации
62
Сообщение от
Bratez
...поищите по образцу _sv_ и удалите.
Удалить все или с параметром run?
Вложения