Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

HackTool.RootKit (заявка № 11350)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64

    Exclamation HackTool.RootKit

    У меня беда! Компьютер отказывается работать в "Обычном режиме". Грузится только в "Безопасном режиме". При подключении компьютера к Интернет в "Обычном режиме" начинается рассылка писем. Помогите, пожалуйста, очень важно, чтобы компьютер был спасен!
    Последний раз редактировалось ghostil; 09.10.2007 в 20:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
     QuarantineFile('C:\WINDOWS\system32\mscorews.dll','');
     QuarantineFile('zoox1.dll','');
     QuarantineFile('w3sskbda.dll','');
     QuarantineFile('flwzx.dll','');
     QuarantineFile('e1.dll','');
     QuarantineFile('confbrw.dll','');
     QuarantineFile('brwstat.dll','');
     QuarantineFile('brwmgr32.dll','');
     QuarantineFile('C:\WINDOWS\system32\winload.dll','');
     QuarantineFile('C:\WINDOWS\system32\jgdwadsn.dll','');
     QuarantineFile('C:\WINDOWS\system32\brwconf.exe','');
     QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\brwconf.exe');
     DeleteFile('C:\WINDOWS\system32\jgdwadsn.dll');
     DeleteFile('C:\WINDOWS\system32\winload.dll');
     DeleteFile('brwmgr32.dll');
     DeleteFile('brwstat.dll');
     DeleteFile('confbrw.dll');
     DeleteFile('e1.dll');
     DeleteFile('flwzx.dll');
     DeleteFile('w3sskbda.dll');
     DeleteFile('zoox1.dll');
     DeleteFile('C:\WINDOWS\system32\mscorews.dll');
     ClearHostsFile;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)


    2. Пофиксить оставшиеся строчки:
    Код:
    O2 - BHO: Shell Search Engine and Control Microsoft - {0000DE80-AEC3-70C3-4176-CE509063E000} - C:\WINDOWS\system32\mscorews.dll (file missing)
    O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - C:\WINDOWS\system32\browsemu.dll (file missing)
    O2 - BHO: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll (file missing)
    O2 - BHO: H - {83E915D4-DDDB-4450-B957-7A3240E9CE66} - zoox1.dll (file missing)
    O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe
    O20 - AppInit_DLLs: e1.dll w3sskbda.dll confbrw.dll brwstat.dll
    O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
    O20 - Winlogon Notify: flballoon - flwzx.dll (file missing)
    O20 - Winlogon Notify: jgdwadsn - C:\WINDOWS\system32\jgdwadsn.dll (file missing)
    O22 - SharedTaskScheduler: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll (file missing)
    The worst foe lies within the self...

  4. #3
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    карантин закачан. Сейчас пофиксю строчки!:-) А логи новые выполнять, присылать?

    Добавлено через 4 минуты
    пофиксил строчки!:-)

    Добавлено через 11 минут
    Люди добрые!Не забывайте про меня!По-моему, до конца комп не чист, очень жду от вас помощи!:-)
    Последний раз редактировалось ghostil; 26.07.2007 в 16:16. Причина: Добавлено сообщение

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Мы не забываем о Вас.

    Загружаться в нормальном режиме можете?

    Логи повторите, посмотрим..
    The worst foe lies within the self...

  6. #5
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    логи повторяю. Загрузиться пытался, но, когда начинаю выполнять какую-либо программу в "Обычном режиме", то опять "висит". Диспетчер задач по-прежнему не появляется.

  7. #6
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    вот получившееся логи!Спасибо за помощь!Жду от Вас ответов и советов!:-)
    Последний раз редактировалось ghostil; 09.10.2007 в 20:15.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Сделайте пожалуйста дополнительный лог для безопасного режима.
    The worst foe lies within the self...

  9. #8
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Вот дополнительный лог. Надеюсь, он даст более полное представление о случившемся!
    Последний раз редактировалось ghostil; 09.10.2007 в 20:15.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Удалены:
    Trojan.Win32.Pakes.bf - Kaspersky
    Win32/Rootkit.Agent.NCR - NOD32v2

    Выполните еще такой скрипт:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\yatool.dll','');
     QuarantineFile('C:\WINDOWS\system32\wbemz.exe srv','');
     QuarantineFile('C:\WINDOWS\system32\icf.exe','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine-11350.zip');
    end.
    Карантин прислать по правилам.

    Добавлено через 35 минут
    Цитата Сообщение от ghostil Посмотреть сообщение
    Диспетчер задач по-прежнему не появляется.
    Выполните в AVZ "Файл"->"Восстановление системы"
    Пункты 6,9,11.
    Последний раз редактировалось Kuzz; 26.07.2007 в 17:36. Причина: Добавлено сообщение
    The worst foe lies within the self...

  11. #10
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Прошу прощения, что так долго молчал - отвлекли по сторонним делам. Только сейчас добрался до компьютера. Скрипт выполнил, карантин закачал. Жду дальнейших указаний! :-)

    Добавлено через 1 минуту
    Восстановление системы тоже сделал. Сейчас попробую войти в Windows в "Обычном режиме".

    Добавлено через 6 минут
    Попытался из Обычного режима загрузить компьютер, но всё равно, подвисает и Диспетчер задач не выводится, хоть убей. Вот такие дела. :-(
    Последний раз редактировалось ghostil; 26.07.2007 в 18:40. Причина: Добавлено сообщение

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Вот что думает Вирустотал о присланом: http://virusinfo.info/showpost.php?p...&postcount=234

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\yatool.dll');
     QuarantineFile('C:\WINDOWS\system32\wbemz.exe','');
     DeleteFile('C:\WINDOWS\system32\icf.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    Если файл wbemz.exe попадет в карантин - пришлите его.

    У Вас 2 антивируса?
    Видны файлы Симантека/Нортона и ДрВеб-а.
    The worst foe lies within the self...

  13. #12
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Карантин закачал, поскольку указанный вами файлик там был обнаружен. Но вот по поводу антивирусов - странно. С симантеком всё верно. А вот по поводу Др. Веба - у меня только утилита стоит, та самая CureIt!

    Добавлено через 7 минут
    Мда, что-то висит комьютер в Обычном режиме :-)
    Последний раз редактировалось ghostil; 26.07.2007 в 19:05. Причина: Добавлено сообщение

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Повторите логи, пожалуйста.

    Судя по:
    O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe
    что-то от него осталось.

    Об этой строчке можете что-то сказать?
    Код:
    O24 - Desktop Component 0: (no name) - http://www.thailandopen.org/tournament_images/gallery-2006-09-27/img04_b.jpg
    Если она Вам знакома (Вы установили фоном рабочего стола рисунок из и-нэта), то в приведённом ниже перечне последнюю строку - пропустить.

    Пофиксить:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://rus.slo.ru/
    O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\system32\yatool.dll
    O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe
    O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe
    O23 - Service: MS Software Shadow Copy Provider SwPrvPlugPlay (SwPrvPlugPlay) - Unknown owner - C:\WINDOWS\system32\wbemz.exe (file missing)
    O24 - Desktop Component 0: (no name) - http://www.thailandopen.org/tournament_images/gallery-2006-09-27/img04_b.jpg
    Добавлено через 52 секунды
    ДНС сервер Вашей сети 192.168.1.1 ?
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BB0CE3-92F2-440D-BFBF-3B1B1CD7C442}: NameServer = 192.168.1.1
    Последний раз редактировалось Kuzz; 26.07.2007 в 19:26. Причина: Добавлено сообщение
    The worst foe lies within the self...

  15. #14
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    да, действительно, почему-то Dr.Web частично остался. Хм, странно. Строчки и пофиксил, сейчас делаю логи и выложу. Извините, что вчера исчез - работой завалили, до 10 вечера не мог добраться до компьютера, а потом домой поехал. Силы уже кончились. :-)

  16. #15
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Вот сделал логи. Посмотрите, пожалуйста. Буду вам очень признателен. :-)
    Последний раз редактировалось ghostil; 09.10.2007 в 20:15.

  17. #16
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    и вот дополнительный лог, на всякий пожарный :-)
    Последний раз редактировалось ghostil; 09.10.2007 в 20:15.

  18. #17
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Да, DNS-server сети 192.168.1.1

    Добавлено через 54 минуты
    Я прошу прощения, что спрашиваю, но Вы помните о моей проблеме?Или компьютер уже вылечен?:-)

    Добавлено через 27 минут
    Люди!Вы меня видите?Почему вы так долго молчите?Я уже начинаю нервничать!;-)
    Последний раз редактировалось ghostil; 27.07.2007 в 11:34. Причина: Добавлено сообщение

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Мы помним о Вашей проблме.
    Просто мы тоже бываем завалены работой.

    Логи сейчас посмотрю.

    Добавлено через 27 минут
    Хм, кроме присутствия этой строки:
    O23 - Service: MS Software Shadow Copy Provider SwPrvPlugPlay (SwPrvPlugPlay) - Unknown owner - C:\WINDOWS\system32\wbemz.exe (file missing)
    ничего подозрительного не вижу.
    Есть предположение: при повреждении Симантека его процесс Rtvscan.exe начинает забирать все процессорное время.
    Последний раз редактировалось Kuzz; 27.07.2007 в 12:04. Причина: Добавлено сообщение
    The worst foe lies within the self...

  20. #19
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    64
    Да я понимаю, что и у вас работы куча. Поэтому и извиняюсь. Просто напомнил о себе. :-) А что можно сделать с этим процессом?Может мне его просто удалить и заново установить Симантек?

    Добавлено через 2 минуты
    И ещё, мне вами указанную строчку пофиксить?
    Последний раз редактировалось ghostil; 27.07.2007 в 12:34. Причина: Добавлено сообщение

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Оба раза "да".

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Hacktool.Rootkit
      От DVlad в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.04.2009, 18:50
    2. Hacktool Rootkit
      От FEV1974 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 09:28
    3. Hacktool.Rootkit
      От reketir в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:58
    4. Hacktool.rootkit
      От Pararoka в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:18
    5. Hacktool.Rootkit
      От inf в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00764 seconds with 19 queries