Показано с 1 по 16 из 16.

Вирус Rootkit.Agent.QC (заявка № 25032)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49

    Exclamation Вирус Rootkit.Agent.QC

    Здравствуйте,

    Прошу помощи, антивирус выдает наличие Rootkit.Agent.QC , чистит вроде, но на следующий день он проявляется снова..
    Зараженные файлы.. Но в самой системе \system32\ их нет

    c:\windows\system32\kavo.exe

    C:\WINDOWS\SYSTEM32\kavo0.dll


    Приложила логи. Спасибо.

    Пара вопросов. Как закрыть эти доступы.
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Последний раз редактировалось Lina_22; 11.10.2008 в 02:28.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах нет ничего зловредного ....
    не Spyware Doctor находит kavo .. ?
    для закрытия доступа выполните скрипт .....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(true);
    end.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49
    Цитата Сообщение от V_Bond Посмотреть сообщение
    не Spyware Doctor находит kavo .. ?
    Он родимый!! И это бесит!.. Что предложите?

    и во второй строчке модификация ...\kavo0.dll с нулем..

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    kcom.sys - пришлите согласно приложения 2 правил ....
    Spyware Doctor ищет кажется по реестру и орет на оставшийся хвост в реестре ... файла на диске нет ....
    предлагаю Spyware Doctor деисталировать ... как бесполезный ....

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49
    Цитата Сообщение от V_Bond Посмотреть сообщение
    kcom.sys
    не поняла..
    Последний раз редактировалось Lina_22; 20.06.2008 в 23:59.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
      BC_ImportDeletedList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49
    файл закачала..
    спасибо

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    KCOM.SYS действительно от Spyware Doctor ... больше ничего подозрительного ...
    Spyware Doctor - настоятельно рекомендую деинсталировать у вас уже есть настоящий антивирус ... для предотвращения заражения флешевыми зловредами ... http://virusinfo.info/showthread.php?t=16459

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49
    Оки, от-инсталлирую..
    Вопрос: у меня установлен McAfee и есть и Касперский лицензионный, конечно, вместе они не тусуются.. А кокой Вы (по опыту здесь)
    посоветуете!?..

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    кав надежнее ...

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49
    И все же комп работает подозрительно!!

    DrWeb вытаскивает заражение в SystemVolume Inform, перезагружаясь в safe mode.. сканирую.. опять находит.. удалил..

    во время работы AVZ, он само произвольно выключился.. Перезагрузила комп.. переинсталила avz по новой.. Сделала логи.

    Есть некоторые вопросы.
    Вот эти службы не выходили в первых отчетах.. Теперь открыты.. Как закрыть, пожалуйста?

    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)


    Беспокоят вот эти позиции:
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    >>>>.....
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[10003DF6]
    >>> Код руткита в функции connect нейтрализован
    Анализ wininet.dll, таблица экспорта найдена в секции .text

    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\WINDOWS\system32\mclsp.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\mclsp.dll>>> Поведенческий анализ

    Типичное для кейлоггеров поведение не зарегистрировано
    Файл успешно помещен в карантин (C:\WINDOWS\system32\mclsp.dll)
    C:\WINDOWS\system32\mclsphlr\gdlsphlr.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\mclsphlr\gdlsphlr.dll>>>
    Поведенческий анализ
    Типичное для кейлоггеров поведение не зарегистрировано
    Файл успешно помещен в карантин (C:\WINDOWS\system32\mclsphlr\gdlsphlr.dll)
    C:\WINDOWS\system32\McRtl32.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\McRtl32.dll>>>
    Поведенческий анализ
    Типичное для кейлоггеров поведение не зарегистрировано

    Файл успешно помещен в карантин (C:\WINDOWS\system32\McRtl32.dll)
    AVZ дает файл virusinfo_cure, загружаю его по пункту правил 3

    Спасибо
    Последний раз редактировалось Lina_22; 11.10.2008 в 02:28.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего плохого ....
    в чем вы подозреваете McAfee ? ( все "страшные" строчки от него)

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49
    Вы как всегда с юмором!!

    Меня беспокоит что Drweb выдает зараженные файлы в System Volume Infor.. Что это??..

    Почему открылись службы?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    после отключения восстановления системы все там должно умереть ...
    если нет можно конечно почистить руками ....

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.06.2008
    Адрес
    UK
    Сообщений
    74
    Вес репутации
    49
    V_Bond_ик, милый! Не понимаю.. Система была отключена, в смысле восстановления, при выполнении логов.. Счас все включено обратно..

    Что можно почистить руками?.. В regedit отправиться?..

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    было отключено ... этого достаточно там все должно затереться ... попробуйте запустить проверку Drweb если будет что - то находить будем принимать меры ...

  • Уважаемый(ая) Lina_22, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. у меня вирус Rootkit.Agent.NSY.
      От densektor в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.03.2010, 23:48
    2. вирус Win32/Rootkit.Agent.ODG.
      От Снегирев Роман в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 24.05.2009, 03:41
    3. Вирус 'Rootkit.Win32.Agent.fq'
      От Vitamin5 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 02:21
    4. Вирус Rootkit.Win32.Agent.fq !!!
      От Vitamin5 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.09.2007, 09:02
    5. Вирус: Rootkit.Win32.Agent.dp
      От LamBerT в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.07.2007, 12:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00721 seconds with 16 queries