Подозрение на RootKit svchost.exe

**erie** · 24.01.2008, 12:54

Помогите вылечить, периодически появляется окно командной строки.
drweb не запускается

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 24.01.2008, 13:12

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\o.pif','');
 QuarantineFile('C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif','');
 QuarantineFile('C:\WINNT\System32\svchost.exe','');
 QuarantineFile('c:\winnt\system32\mspi.exe','');
 QuarantineFile('C:\netsend.bat','');
 QuarantineFile('C:\aaaxcopy.bat','');
 QuarantineFile('C:\WINNT\System32\drivers\SIODRV.SYS','');
 QuarantineFile('C:\WINNT\System32\drivers\iSMBIOS.SYS','');
 QuarantineFile('c:\winnt\system32\msvk32.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

Загрузить весь карантин. -> http://virusinfo.info/upload_virus.php?tid=16922

**drongo** · 24.01.2008, 13:17

на всякий случай добавил несколько , а что с hijackthis?

**erie** · 24.01.2008, 14:11

хотел редактированием первого поста вставить лог от hijackthis - не получается, говорит что недостаточно каких то прав ????

**PavelA** · 24.01.2008, 14:24

Вставляй новым сообщением, ничего страшного.

**erie** · 24.01.2008, 14:35

hijackthis logs,
карантин AVZ отправил, но при выполнении скрипта в него не попал svchost.exe

**PavelA** · 24.01.2008, 14:50

C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif,'C:\WINNT\o.pif',c:\winnt\system32\ mspi.exe,c:\winnt\system32\msvk32.dll Worm.Win32.Feebs.mx (по Касперскому)

Будем удалять.
Скрипт для удаления:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 BC_DeleteFile('C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif');
  BC_DeleteFile('C:\WINNT\o.pif');
BC_DeleteFile('c:\winnt\system32\mspi.exe');
BC_DeleteFile('c:\winnt\system32\msvk32.dll');       
 BC_Activate;
 RebootWindows(true);
end.

Сделать после него все логи снова.

**erie** · 24.01.2008, 16:02

Симтомы остались

**drongo** · 24.01.2008, 16:16

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O21 - SSODL: msvk32.dll - {5CDAAC71-D4E7-DEA7-4EDB-337CCC50D830} - c:\winnt\system32\msvk32.dll

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\winnt\system32\msvk32.dll');
 DeleteFile('c:\winnt\system32\mspi.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.

Сделать новые логи, и смотрите какие файлы присоединяете, хотелось бы долечить

**erie** · 24.01.2008, 16:35

Больному лучше

Спасибо !!!

**Bratez** · 24.01.2008, 16:48

Удаление прошло успешно.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

DrWeb видимо придется переустановить.

**erie** · 24.01.2008, 17:09

Всем спасибо за помощь !!!
с остальным разберусь

**drongo** · 24.01.2008, 17:18

дрвеб надо по моему переставить на последнею версию с сайта разработчика, какие-то траблы с дровами

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox позволяет делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

**CyberHelper** · 22.02.2009, 03:38

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\boss.upackhleb\\рабочий стол\\msdos.pif - Worm.Win32.Feebs.mw (DrWEB: Win32.HLLM.Graz)
2. c:\\winnt\\o.pif - Worm.Win32.Feebs.mw (DrWEB: Win32.HLLM.Graz)
3. c:\\winnt\\system32\\mspi.exe - Worm.Win32.Feebs.mx (DrWEB: Win32.HLLM.Limar.227
4. c:\\winnt\\system32\\msvk32.dll - Worm.Win32.Feebs.mx (DrWEB: Win32.HLLM.Graz.based)

Подозрение на RootKit svchost.exe (заявка № 16922)

Опции темы

Подозрение на RootKit svchost.exe

Итог лечения

Похожие темы

Подозрение на Rootkit

svchost.exe Rootkit

Win32:Rootkit-gen [Rtk], windows\system32\svchost.exe

Win32:Rootkit-gen [Rtk] + svchost

Подхватил Win32:Rootkit-gen [Rtk], windows\system32\svchost.exe

Ваши права в разделе