Symantec Antivirus обнаружил Hacktool.Rootkit, но удалить полностью его не может. После перезагрузки появляется снова.
Наблюдается большой исходящий и входящий трафик при подключении к интернету.
Нужна помощь в очистке компа. Спасибо.
Symantec Antivirus обнаружил Hacktool.Rootkit, но удалить полностью его не может. После перезагрузки появляется снова.
Наблюдается большой исходящий и входящий трафик при подключении к интернету.
Нужна помощь в очистке компа. Спасибо.
профиксите
выполните скрипт...Код:O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe
пришлите карантин согласно приложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe',''); QuarantineFile('C:\Program Files\Download Express\projectslist.exe',''); QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe',''); DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end.
Сделал. Файл карантина отправил.
C:\Program Files\Download Express\projectslist.exe
eSafe 7.0.15.0 2007.08.29 Suspicious Trojan/Worm -подождем что скажет вирлаб ...
c:\docume~1\user\locals~1\temp\winlogon.exe -Trojan-Proxy.Win32.Small.fx
повторите логи ...
Новые логи
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\L.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Скрипт выполнил. Файл карантина отправил (Файл сохранён как 070901_165557_virus2_46d9dfed89a6a.zip)
Файл чистый.
Пофиксите в HijackThis:
Обратите внимание:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,
Код:8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Сделал. Устраню.
Большое спасибо!
Ефим, вот скрипт , который это
устранает:
Чтобы уменьшить шанс заражения, на будущее :Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Файл для базы отправил.
Еще раз спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\user\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.fx (DrWEB: Trojan.Packed.147)
Уважаемый(ая) Ефим, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.