Показано с 1 по 12 из 12.

Обнаружен вирус Hacktool.Rootkit (заявка № 12109)

  1. #1
    Junior Member Репутация
    Регистрация
    01.09.2007
    Сообщений
    15
    Вес репутации
    61

    Thumbs up Обнаружен вирус Hacktool.Rootkit

    Symantec Antivirus обнаружил Hacktool.Rootkit, но удалить полностью его не может. После перезагрузки появляется снова.
    Наблюдается большой исходящий и входящий трафик при подключении к интернету.
    Нужна помощь в очистке компа. Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    профиксите
    Код:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
     QuarantineFile('C:\Program Files\Download Express\projectslist.exe','');
     QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); 
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  4. #3
    Junior Member Репутация
    Регистрация
    01.09.2007
    Сообщений
    15
    Вес репутации
    61
    Сделал. Файл карантина отправил.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\Program Files\Download Express\projectslist.exe
    eSafe 7.0.15.0 2007.08.29 Suspicious Trojan/Worm -подождем что скажет вирлаб ...
    c:\docume~1\user\locals~1\temp\winlogon.exe -Trojan-Proxy.Win32.Small.fx
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    01.09.2007
    Сообщений
    15
    Вес репутации
    61
    Новые логи
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    01.09.2007
    Сообщений
    15
    Вес репутации
    61
    Скрипт выполнил. Файл карантина отправил (Файл сохранён как 070901_165557_virus2_46d9dfed89a6a.zip)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл чистый.

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,
    Обратите внимание:
    Код:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    01.09.2007
    Сообщений
    15
    Вес репутации
    61
    Сделал. Устраню.

    Большое спасибо!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Ефим, вот скрипт , который это
    устранает:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Junior Member Репутация
    Регистрация
    01.09.2007
    Сообщений
    15
    Вес репутации
    61
    Файл для базы отправил.

    Еще раз спасибо.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\user\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.fx (DrWEB: Trojan.Packed.147)


  • Уважаемый(ая) Ефим, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирус Hacktool.Rootkit
      От конст в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.06.2009, 13:07
    2. Помогите вирус Hacktool.Rootkit
      От Depo в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:54
    3. Ответов: 14
      Последнее сообщение: 22.02.2009, 03:19
    4. Обнаружен вирус Hacktool.Rootkit!! Что делать?
      От putnik82 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 03:17
    5. Вирус Hacktool.Rootkit в DefLib.sys
      От mm1234 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.01.2008, 11:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01646 seconds with 20 queries