Показано с 1 по 14 из 14.

заразался Hacktool.Rootkit (заявка № 17577)

  1. #1
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    16
    Вес репутации
    59

    Thumbs up заразался Hacktool.Rootkit

    И видимо из-за него немогу просмотреть скрытые файлы!! У симантика просто выключил автомат. защиту!!(подругому не закрыть) Он его рубит... но этот негодяй видимо гдето засел... Помагите плиз!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=17577).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    16
    Вес репутации
    59
    На локальные диски теперь входит нормально, но скрытые файлы показывать напроч отказываеться..... В чем может быть причина?
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Загрузите карантин.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    16
    Вес репутации
    59
    Я так понимаю что вы имели в виду....
    Приложение 3. Как прислать запрошенные файлы.

    1.
    Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
    2. Справа в списке файлов отметьте те файлы которые нужно выслать.
    3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
    Ну это то я зделал... или надо другое... если это то файл щас вышлю... ток скажите.. и все ли галки надо ставить?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, ставить все галки и загружать по вышеуказанной ссылке.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    16
    Вес репутации
    59
    Файл весит 21 Мбайт.. лимит превышен... что делать... мож галки убрать какие... и полсе сделаного выше..вами просимого выполнего скрипта... следует ли опять:
    Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.???

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Откуда ж там столько?
    Поставьте галки напротив файлов, упомянутых в скрипте в сообщ. #2.

    Добавлено через 32 секунды

    Логи пока делать не надо.
    Последний раз редактировалось Bratez; 05.02.2008 в 16:56. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    16
    Вес репутации
    59
    Симантик и драйвера в систем32 убрал))) Вобщем вот... но меня еще волнует экзешник C:\Windows\SkyTel.exe и 2 подозрения на трояна... но не в этом суть, главное чтобы скрытые файлы увидел!!!
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\2ifetri.cmd');
     DeleteFile('D:\2ifetri.cmd');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    16
    Вес репутации
    59
    Усе!!! просто огромнейшее спасибо Bratez!!!
    все видит и все открывает))
    А на счет служб
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)(я думаю ненужна)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)(хз что это но я думаю лучше оставить)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)(тож хз что это, но я думаю ненадо)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)(не надо)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)(не надо)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)(не надо)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)(я так понимаю это Radmin если да. То надо)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя(это ко мне?? не надо)
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику(не надо)


    И еще один маленький вопросик.....
    по техналогии написаного скрипта можно будет удалять любые вирусы??
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\autorun.inf','');(только др названия файла и все в этом духе??)
    ........
    DeleteFile('D:\autorun.inf');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Еще раз пасибо!!!
    Последний раз редактировалось Caypys; 05.02.2008 в 17:34.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Анонимный доступ нужен, если есть локалка с общим доступом к файлам и принтерам. В этом случае уберите первую строчку после begin.
    RDSessMgr - это НЕ RAdmin.

    Про "маленький вопросик": лучше сначала изучить документацию к AVZ и попрактиковаться в анализе логов на форуме. Применение скриптов без ясного понимания их действия может нанести вред системе.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    16
    Вес репутации
    59
    Все сделал!! Все работает(пока...) Пасиба еще раз большое!!!
    Про ответ на маленький вопросик учту!!! Востановление можно включить я понимаю?? и тему вы удоляете или самому??(и как? если самому)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Восстановление включить можно, а тему удалять незачем, другие тоже интересуются
    I am not young enough to know everything...

  • Уважаемый(ая) Caypys, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Hacktool.Rootkit
      От DVlad в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.04.2009, 18:50
    2. Hacktool Rootkit
      От FEV1974 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 09:28
    3. Hacktool.Rootkit
      От reketir в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:58
    4. Hacktool.rootkit
      От Pararoka в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:18
    5. HackTool.RootKit
      От ghostil в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 27.07.2007, 21:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00394 seconds with 20 queries