Приветствую.
Давеча принесли одну завирусованную по самые гладны машинку (для инфы - там стоял корпоративный симантек ver10.1.5000, регулярно обновляемый. Но у пользователя - права админа ). Ок.
Проверял следующим (Сначала, ессно подключил винт из этой машины к чистому ПК. После глобальной внешней зачистки продолжил в Safe Mode,и только потом уже из под нормально загруженной винды ). На ПК установлена XP SP2 Rus + все патчи про какие Windows Update знает.
1.KAV 6 - с последними базами
2.Dr.Web 4.44 с последними базами
3. AVZ с последними базами.
4. AVG Antirootkit (последний)
5. unhackMe 4.5 Rus
6. Gmer 1.014
7. RootkitRevealer
8. RootKit UnHooker LE 3.7
Гуана всякого было вычищенно безмерно. Каталог System Restore ессно грохнул в первую же очередь. Но, imho, один зверёк остался. По симптомам. Ставлю галку в свойствах папки - Показывать скрытые файлы и папки -ОК, а оно само назад возвращается в Положение Скрывать скрытые папки и файлы.
Работаю, ессно, из под локального админа. Шаблон setup secure применил.
Комп - однозначно уйдёт под формат, но очень хочется зверушку поймать
Лог AVZ прилогаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Залил.
Только того...Я нечаянно ( ) заборол (вроде) таки руткит. Глядя на конфиг скрипта, пришла светлая мыль - зачистить каталог C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
Зачистил.
После перезагрузки - галка Показывать скрытые файлы и папки не слетает и всё показывается
Но не ясно какой файл был руткитом/трояном и почему мне удалось его спокойно удалить.....
Да. Я из папки Карантин удалил пару файликов - там вирей точно нет, а кой-кая приватная инфа есть.
После перезагрузки - галка Показывать скрытые файлы и папки не слетает и всё показывается
так и должно быть - это результат работы скрипта ....
что вы там напихали в карантин 16 мегабайт ? ... удалите все оставте только два запрашиваемых файла и перезалейте ...
так и должно быть - это результат работы скрипта ....
А я то размечтался
что вы там напихали в карантин 16 мегабайт ? ... удалите все оставте только два запрашиваемых файла и перезалейте ...
Упс. Два запрашиваемых это
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp \MKCIPCLMXZMCRK.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp \HAXMQ.exe'
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: