Показано с 1 по 19 из 19.

касперский 7 определял как руткит iexplorer.exe (заявка № 14788)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41

    Thumbs up касперский 7 определял как руткит iexplorer.exe

    После подключения к сети Касперский АнтиВирус 7 выдавал сообщение, что найден руткит - файл iexplorer.exe. Сам обозреватель запущен в это время не был. Я выбирал пункт "пропустить".
    После полного сканирования системы Касперским и cureit.exe данного сообщения больше не появляется. Но хотелось бы убедиться, что данная проблема решена полностью и нет других проблем.
    Вложения Вложения
    Последний раз редактировалось Макcим; 02.12.2007 в 17:34.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация
    Регистрация
    24.11.2006
    Адрес
    град Москва
    Сообщений
    80
    Вес репутации
    44
    virusinfo_cure.zip уберите из темы. Нужен virusinfo_syscure.zip

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\FolderMarker.ico','');
     QuarantineFile('C:\WINDOWS\system32\necsopp.sys','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    BitAccelerator -деинсталируйте ...

  5. #4
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41
    хм... ситуация такая:
    Файл virusinfo_syscure.zip - НЕ создается при выполнении "Скрипт лечения/карантина..."
    В процессе выполнения этого скрипта, в частности, появляется строка: "Ошибка в работе антируткита [Range check error], шаг [11]". Я сохранил лог выполнения этого скрипта, если нужно - пришлю.
    При выполнении скрипта от V_Bond появляется сообщение об ошибке: "Failed to set data for "DilplayName". После нажатия ОК avz вроде работает, но не хочет закрываться, никакие другие программы не запускаются, помогает перезагрузка. Также после запуска этого скрипта тут же появляется системное сообщение о нехватке виртуальной памяти. Лог выполнения этого скрипта я тоже сохранил и могу прислать.
    BitAccelerator отсутствует в списке программ установки-удаления, отсуствует на диске. Я нашел только записи в реестре, относящиеся к этой программе, и удалил их (программой Reg Organizer для чистки и редактирования реестра).
    Запрошенные файлы карантина высылаю.
    Последний раз редактировалось Максимус; 02.12.2007 в 22:53. Причина: дополнение

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503

  7. #6
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41
    логи делал в обычном режиме (небезопасном)
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\necsopp.sys');
     BC_QrFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\FolderMarker.ico');
     BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
    Сделайте последний лог в безопасном режиме (текст от ст. скрипта #1 отдельно сохранять не надо).
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41
    всё сделал.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт Bratez из поста 7 в safe mode ...
    пришлите карантин согласно приложения 3 правил ...

  11. #10
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41
    сделал.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    C:\WINDOWS\system32\necsopp.sys
    C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\FolderMarker.ico .....нужно скопировать руками (желательно в far) они точно есть на диске .... и в архиве с паролем прислать ...

  13. #12
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41
    выслал. Копировал с помощью Total Commander.
    Far - это Far Manager? Его нет, но могу найти и поставить, если потребуется.
    пароль к архиву - "virus"

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    necsopp.sys-Rootkit.Win32.Agent.pu
    отключите антивирус ...
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteFile('C:\WINDOWS\system32\necsopp.sys');
     BC_DeleteSvc('necsopp');
     BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  15. #14
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41
    сделал.
    virusinfo_syscure.zip - не создается.
    остальные прилагаю.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    зловредов уничтожили ... какие проблемы остались ?

  17. #16
    Junior Member Репутация
    Регистрация
    18.09.2007
    Сообщений
    11
    Вес репутации
    41
    Огромное спасибо! Больше пока ничего не беспокоит.
    А то что virusinfo_syscure.zip не создается при выполнении скрипта лечения/каратнтина - это нормально?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    69
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    Цитата Сообщение от Максимус Посмотреть сообщение
    Огромное спасибо! Больше пока ничего не беспокоит.
    А то что virusinfo_syscure.zip не создается при выполнении скрипта лечения/каратнтина - это нормально?
    скажем так .... не совсем ... но у есть вас есть Outpost .... возможно из-за него ...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,313
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\local settings\\temp\\winlogon.exe - Trojan.Win32.Pakes.bro (DrWEB: Trojan.Packed.147)
      2. c:\\windows\\system32\\necsopp.sys - Rootkit.Win32.Agent.pu (DrWEB: Trojan.NtRootKit.49
      3. \\necsopp.sys - Rootkit.Win32.Agent.pu (DrWEB: Trojan.NtRootKit.49


  • Уважаемый(ая) Максимус, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 28.03.2011, 06:08
    2. Ответов: 4
      Последнее сообщение: 26.02.2011, 20:14
    3. Ответов: 12
      Последнее сообщение: 18.01.2010, 15:13
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01509 seconds with 17 queries