Показано с 1 по 12 из 12.

Вирус предположительно Rootkit Malware (заявка № 22568)

  1. #1
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    7
    Вес репутации
    36

    Thumbs up Вирус предположительно Rootkit Malware

    Заметил что Отпост блокирует интернет эксплорер при чем я его заблокировал давно и совсем, пришел к выводу что гдето троянчик. Скачал Ad-Aware SE проверил он выявил (Win32.Rootkit.Agent Ключ регистра Malware HKEY_CLASSES_ROOT:CLSID\{1B2DF98F-5651-499E-8E83-ECD666D65EFA}\ C:\WINDOWS\system32\certcl.dll
    Win32.Rootkit.Agent Файл Malware c:\windows\system32\certcl.dll
    Win32.Rootkit.Agent Ключ регистра Malware HKEY_LOCAL_MACHINE:SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{1B2DF98F-5651-499E-8E83-ECD666D65EFA}\ C:\WINDOWS\system32\certcl.dll)
    Ad-Aware SE удолить сам не смог, а мой NOD32 вообще ничего не находит хотя обнавление полумесячной давности. Объясните ламеру как коректно расправится с этим вирусом!?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    отключить антивирус, файрвол, интернет.
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');
     DelBHO('{1B2DF98F-5651-499E-8E83-ECD666D65EFA}');
     QuarantineFile('C:\WINDOWS\system32\certcl.dll','');
     QuarantineFile('C:\DOCUME~1\ROMAN~1.DOM\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\pxark.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nsynas32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Defrag32b.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Defrag32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\lghuqifj.dat','');
     DeleteFile('C:\WINDOWS\system32\certcl.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\lghuqifj.dat');
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('mbgwysjg');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...
    Последний раз редактировалось drongo; 07.05.2008 в 15:24.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    не много добавил от себя

  5. #4
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    7
    Вес репутации
    36
    Загруска повисла на 128кб! Всё делал по инструкции - создал архив спомощью AVZ после чего из соответствующей темы отправил по ссылке "прислать запрошенный архив". Висит загруска и всё. Может пароль какой на архив нужно было ставить?

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Карантин есть там только certcl.dll - Rootkit.Win32.Podnuha.ay и часть Outpost Firewall. Логи повторите.

  7. #6
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    7
    Вес репутации
    36
    Повторил логи "certcl.dll - Rootkit.Win32.Podnuha.ay" удалён вроде всё чисто не считая патчей из софта!?. Отсылаю логи а также файл из карантина.

  8. #7
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    7
    Вес репутации
    36

    Удалил certcl.dll - Rootkit.Win32.Podnuha.ay

    Что то логи не загрузились с письмом досылаю. Карантин дошлю!
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скачайте C:\WINDOWS\System32\Drivers\lghuqifj.dat - force delete
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {1B2DF98F-5651-499E-8E83-ECD666D65EFA} - C:\WINDOWS\system32\certcl.dll (file missing)
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{1B2DF98F-5651-499E-8E83-ECD666D65EFA}');
     QuarantineFile('C:\DOCUME~1\ROMAN~1.DOM\LOCALS~1\Temp\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
     BC_DeleteSvc('mbgwysjg');
     DeleteFile('lghuqifj.dat');
     DeleteFile('C:\WINDOWS\system32\certcl.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\lghuqifj.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    7
    Вес репутации
    36

    Вроде всё чисто

    Вроде всё чисто не считая патчей из софта!?. Отсылаю логи. Все остальное я почистил. Странная реакция AVZ на "D:\Program Files\Agnitum\Outpost Firewall\uninst.exe Подозрение на AdvWare.Win32.TTC.c ( 0072B37E 08CD8ABD 002A6D72 001A5497 163840)" проблем с Outpost Firewall не наблюдалось хотя я его немного пропатчил в своё время хотя там всё должно быть чисто.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах чисто ...
    на uninst.exe авз всегда ругается он чистый ...

  12. #11
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    7
    Вес репутации
    36

    Большое спасибо

    Класный сайт буду часто заходить!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\certcl.dll - Rootkit.Win32.Podnuha.ay (DrWEB: Trojan.DownLoader.56883)


  • Уважаемый(ая) romnext, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 10.11.2011, 13:12
    2. Ответов: 5
      Последнее сообщение: 19.06.2010, 22:37
    3. Вирус, предположительно Trojan.Winlock 1819
      От iiva в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.06.2010, 08:10
    4. Rootkit/Malware infection detected
      От PeterGunn в разделе Malware Removal Service
      Ответов: 3
      Последнее сообщение: 31.03.2010, 11:13
    5. Вирус предположительно Win32.HLLP.Rox
      От Comment в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 18.07.2009, 17:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01101 seconds with 17 queries