Hacktool.Rootkit
Словил данную вещь. Norton обнаруживает много зараженных файлов: в основном wincab.sys, антивурус говорит, что они заряжены Hacktool.Rootkit. Он их удаляет, но после перезагрузи они появляются вновь. Не знаю, связано ли это, но после появления этого вируса перестал корректно работать дебаггер в Microsoft Visual Studio.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('PowerReg SchedulerV2.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\ABLKSR\ABLKSR.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\system32\Driverssewfxcu.sys',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ZHIJZNS.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ZHF.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\XNCE.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\LUSZROPHW.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\KH.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\MA.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo1.dll',''); DeleteFile('C:\WINDOWS\system32\amvo1.dll'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15568
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe O4 - Startup: PowerReg SchedulerV2.exe
1. Все сделал. Карантин прислал.
2. Может, такое быть, что строчки
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
нет, или я плохо ищу?
Просто я посмотрел предыдущий лог, нашел эту строчку, а в новом логе ее нет.
МожетСообщение от Master_Yoda
Microsoft Most Valuable Professional in Consumer Security
Свежее...
Выполните скрипт
Насчет пары файлов подождем заключения ВирЛабаКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('D:\autorun.inf'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\usdeiect.com'); DeleteFile('D:\usdeiect.com'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Спасибо вам огромное!!!!
Дебаггер снова заработал!!!
Огромное спасибо!!
Подождите еще пару часиковНасчет пары файлов подождем заключения ВирЛаба
Хорошо))
Ну так что там с заключением ВирЛаба?)
Trojan-PSW.Win32.OnLineGames.lvs C:\WINDOWS\system32\amvo.exe
Trojan-PSW.Win32.OnLineGames.lvs C:\WINDOWS\system32\amvo1.dll
Их мы удалили, остальное чисто.
Что не нужно из этого?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Нарушение ассоциации SCR файлов
Запустите AVZ - Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы - Пуск - Исправить
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)
- c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.lvs (DrWEB: Trojan.PWS.Wsgame.2387)
- c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.lvs (DrWEB: Trojan.PWS.Wsgame.2387)
- d:\\autorun.inf - Worm.Win32.AutoRun.bhx (DrWEB: Win32.HLLW.Autoruner.1053)
Уважаемый(ая) Master_Yoda, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
