Показано с 1 по 18 из 18.

Опять Hacktool.Rootkit (заявка № 13204)

  1. #1
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38

    Thumbs up Опять Hacktool.Rootkit

    Люди добрые,

    Где-то поймали Hacktool.Rootkit. При каждой загрузке Symantec AV выдает:

    Scan type: Auto-Protect Scan
    Event: Security Risk Found!
    Risk: Hacktool.Rootkit
    File: C:\WINDOWS\system32\DefLib.sys
    Location: Quarantine
    Computer: CABINET
    User: CABINET\Bambula
    Action taken: Quarantine succeeded : Access denied

    После этого начинают в бешеном количестве отсылаться письма, но вроде Symantec их блокирует.

    Жду помощи. Спасибо заранее.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');   
     BC_ImportDeletedList;
     BC_DeleteSvc('FCI');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    сделайте лог .... http://virusinfo.info/showthread.php?t=10387

  4. #3
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Скрипт сейчас выполню. Насчет логов уточните, пожалуйста. Значит ли, что надо загружаться в безопасном режиме?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Цитата Сообщение от Botsman Посмотреть сообщение
    Скрипт сейчас выполню. Насчет логов уточните, пожалуйста. Значит ли, что надо загружаться в безопасном режиме?
    Не обязательно. Нужно просто включить просмотр всех служб и драйверов и сохранить лог в таком виде. Перед этим в статье рекомендуется запустить нейтрализацию перехватчиков - это лучше сделать, но тогда, после сохранения лога, обязательно перезагрузите машину для нормального продолжения работы.

  6. #5
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Скрипт выполнил, автоматически перегрузился. Собрал лог по инструкции. После этого опять перегружусь в соответствии с рекомендацией. Жду дальнейших указаний...
    Вложения Вложения
    • Тип файла: zip LOG.zip (24.7 Кб, 3 просмотров)

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('\??\G:\INSTALL\GMSIPCI.SYS','');
     QuarantineFile('\??\G:\NTACCESS.sys','');
     QuarantineFile('C:\DOCUME~1\Bambula\LOCALS~1\Temp\SMJHA.exe','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложеня 3 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Послал карантин. При выполнении последнего скрипта, кажется, ругнулся на файлы с диска G, т.к. это cdrom, там нет ничего.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\DOCUME~1\Bambula\LOCALS~1\Temp\SMJHA.exe
    C:\WINDOWS\system32\SSSensor.dll - оба по вирустотал чисты ....
    сделайте логи, как в первом сообщении ,что бы убедиться ,что ничего не осталось ...

  10. #9
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Свежие логи.

    Осталось несколько вопросов:

    1) Кроме диска C, есть еще D и H. Нужно ли как то проверить их?

    2) Нужно и можно ли удалить AVZ и HijackThis после всех манипуляций? Нужны ли какие-то специальные действия для удаления? В каталоге с AVZ есть подкаталоги с карантином и инфицированными. Что делать с ними?

    3) Symantec показывает в своем карантине 9 файлов DefLib.sys, которые он туда сегодня поместил. Кстати, интересно, почему 9, раньше был 1. Нужно ли удалить все из этого карантина?

    4) RootkitRevealer (http://www.microsoft.com/technet/sys...tRevealer.mspx) продолжает показывать наличие в реестре вот такой бяки, по дате и времени точно совпадающей с моментом заражения:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF \bbbbb....(очень много символов b) в статусе Hidden from Windows API
    Нужно ли что-то сделать?
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    1 да своим антивирусом
    2 можно
    3 конечно нужно
    4 ключ реестра сам не опасен (хотя ничего кокретно по этой программе не скажу .. так как не пользуюсь)
    в ваших логах чисто .... какие -то проблемы остались ?

  12. #11
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Проблем больше не наблюдается.
    Огромное спасибо за оперативную помощь! Уже собирался форматировать все...

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    предлагаю закрыть потенциальные уязвимости определитесь что необходимо остальное поможем закрыть
    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена

  14. #13
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    предлагаю закрыть потенциальные уязвимости определитесь что необходимо остальное поможем закрыть
    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    Мне, конечно, стыдно, но не очень в этом разбираюсь... Где бы почитать, чтобы решить, нужно это или нет? На первый взгляд закрыть можно все из перечисленного, ничем пока не пользовался.
    Если нетрудно, скажите, пожалуйста, как все закрыть, а я потом выберу, что нужно оставить из полного списка.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    прочесть можно http://www.oszone.net/2357/Services

  16. #15
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Почитал. Думаю, ничего из перечисленного не нужно. Помогите, пожалуйста, закрыть. Спасибо.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  18. #17
    Junior Member Репутация
    Регистрация
    14.10.2007
    Адрес
    Moscow
    Сообщений
    9
    Вес репутации
    38
    Сделал. Огромное спасибо за помощь еще раз. Не ожидал найти такой сервис, когда нашел, честно говоря, не особо верилось, что помогут, да еще и быстро. Благодарю.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Botsman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Hacktool.Rootkit
      От BanG в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.09.2009, 12:30
    2. Hacktool.Rootkit
      От reketir в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:58
    3. Опять Hacktool.rootkit, но есть нюанс
      От SilverUnreal в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 04:08
    4. Hacktool.Rootkit
      От diana в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 03:46
    5. У меня опять Hacktool.Rootkit...
      От nasya в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.12.2007, 00:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00391 seconds with 17 queries