Показано с 1 по 2 из 2.

Rootkit.Win32.ZAccess.j

  1. #1
    Junior Member Репутация
    Регистрация
    30.10.2011
    Сообщений
    5
    Вес репутации
    23

    Rootkit.Win32.ZAccess.j

    Добрый день.

    Хочу поделиться симптомами и вероятным излечением (winXP).

    После запуска инсталлятора от группы unleashed, некий файл (забыл название) обратился к explorer.exe, и понеслась нескончаемая цепочка обращений ко всевозможным адресам от svchost.exe.
    Проверил систему первым попавшимся антивирусом, которым оказался dr.web с базой от 16.10.11, но ничего вредоносного не было найдено. HijackThis не показал никаких изменений.
    После ребута на логон экране стал крэшится svchost.exe с ошибкой "память не может быть 'read'". Если залогиниться, то windows выпадал на пустой рабочий стол.
    Получилось через диспетчер задач запустить services.msc и оказалось, что workstation служба и все, что от нее зависят не запущены. Подняв ее и некоторые другие (некоторые выдают ошибку при запуске), удалось прогрузиться до конца.
    Проверка AVZ в сейф моуд выявила тот самый руткит в файле netbt.sys по пути c:\WINDOWS\system32\drivers\
    После загрузки в обычном режиме крэши svchost прекратились.

    Заодно хотелось бы узнать, действительно ли система теперь полностью излечена (посмотрел обновленный HijackThis снова - все идентично старым логам).

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Цитата Сообщение от donm Посмотреть сообщение
    Заодно хотелось бы узнать, действительно ли система теперь полностью излечена
    А Вы проверьтесь у наших специалистов

Похожие темы

  1. Rootkit.Win32.ZAccess.c
    От PEOOPLE3D в разделе Помогите!
    Ответов: 28
    Последнее сообщение: 20.01.2012, 17:09
  2. ZAccess подцепил
    От bacilla в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 03.10.2011, 00:57
  3. Rootkit.Win32.ZAccess.q помогите удалить
    От igcom в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 17.09.2010, 13:17
  4. Rootkit.Win32.ZAccess.db
    От Big Joe в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 01.02.2010, 07:40
  5. Ответов: 7
    Последнее сообщение: 22.02.2009, 07:44

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00010 seconds with 16 queries