Показано с 1 по 11 из 11.

Проблема - Hacktool rootkit (заявка № 27598)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2008
    Сообщений
    56
    Вес репутации
    35

    Thumbs up Проблема - Hacktool rootkit

    Уважаемые, прошу помощи. Symantec E.P. 10 обнаружил hacktool rootkit, проблема схожая с аналогичными на форумепо тем Руткита. Притперезагрузке системы всегда находит Trojan.Panding... Hacktool rootkit он загоняет в карантин, но при поключении сети его это не удерживает и идет бесорядочная рассылка писем с моего компа на неизвестные мне адреса, Symantec E.P. присылает сообщенияо блокировки отосланных писем как спам... Прошу помощи, правила читал. В каких то вопросах могу не понять, не прошарен до конца, просьба сильно не пинать ). Заранее благодарен. Постараюсь прикрепить логи на анализ.
    Последний раз редактировалось Мирослав; 30.11.2009 в 20:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg74.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winls07.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winir31.sys','');
     DeleteService('Winyg74');
     DeleteService('Winls07');
     DeleteService('Winir31');
     DeleteService('SmcServiceDcomLaunch');
     DeleteService('RemoteAccessSmcServiceDcomLaunch');
     DeleteService('AudioSrvRasMan');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winir31.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winls07.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyg74.sys');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    05.08.2008
    Сообщений
    56
    Вес репутации
    35

    Hacktool rootkit после выполнения скрипта

    Скрипт выполнен...произошла самоперезагрузка системы. Отправил карантин по правилам, не уерен что дошел! Провел заново стандартные скрипты в AVZ и Hijack...новые логи прилагаются.
    Спасибо, жду ответа.
    Последний раз редактировалось Мирослав; 30.11.2009 в 20:21.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe','');
     BC_DeleteSvc('Winud31');
     BC_DeleteSvc('Wincj86');
     BC_DeleteSvc('WZCSVCHidServ');
     BC_DeleteSvc('SmcServiceDcomLaunch');
     BC_DeleteSvc('RemoteAccessSmcServiceDcomLaunch');
     BC_DeleteSvc('Autodeskdmadmin');
     BC_DeleteSvc('AudioSrvRasMan');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincj86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winud31.sys');
     DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    05.08.2008
    Сообщений
    56
    Вес репутации
    35

    Hacktool rootkit после выполнения скрипта 2 серия

    Ок, провел операции... отправляю логи...и карантин
    Последний раз редактировалось Мирослав; 30.11.2009 в 20:21.

  7. #6
    Junior Member Репутация
    Регистрация
    05.08.2008
    Сообщений
    56
    Вес репутации
    35
    Дружище, тебя наверное уморили проблемами...

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {AA58ED58-01DD-4D91-8333-CF10577473F7} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    больше ничего плохого ...

  9. #8
    Junior Member Репутация
    Регистрация
    05.08.2008
    Сообщений
    56
    Вес репутации
    35

    Шикарно

    Шикарно. Спаибо огромное. Все профиксил как предписали. V - Bond вопросик на последок, данная вредоносная прога не нанесла ли мне серьезных ну или средней тяжести повреждений системы. Или онане расчитана на это, имеется ввиду надо ли проводить переустановку системы? Как отблагодарить тебя даж не знаю, мож денег на телефон кинуть..)

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    побывавший у вас зловред использовался для организации спам рассылок и атак на другие компьютеры, может еще чего ... ( у вас воровался трафик)

  11. #10
    Junior Member Репутация
    Регистрация
    05.08.2008
    Сообщений
    56
    Вес репутации
    35

    спс

    Трафика нет как такового - АНЛИМ ибо, т.е. потерь никаких

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aug (DrWEB: BackDoor.Bulknet.225)


  • Уважаемый(ая) Мирослав, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Hacktool.Rootkit
      От elpago в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.06.2009, 14:49
    2. Hacktool.Rootkit
      От reketir в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:58
    3. Hacktool.Rootkit
      От inf в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:17
    4. Проблема с Hacktool.Rootkit tcpsr.sys
      От N0ax в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 30.06.2008, 12:26
    5. HackTool.RootKit
      От ghostil в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 27.07.2007, 20:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00959 seconds with 16 queries