-
Junior Member
- Вес репутации
- 58
Проблема - Hacktool rootkit
Уважаемые, прошу помощи. Symantec E.P. 10 обнаружил hacktool rootkit, проблема схожая с аналогичными на форумепо тем Руткита. Притперезагрузке системы всегда находит Trojan.Panding... Hacktool rootkit он загоняет в карантин, но при поключении сети его это не удерживает и идет бесорядочная рассылка писем с моего компа на неизвестные мне адреса, Symantec E.P. присылает сообщенияо блокировки отосланных писем как спам... Прошу помощи, правила читал. В каких то вопросах могу не понять, не прошарен до конца, просьба сильно не пинать ). Заранее благодарен. Постараюсь прикрепить логи на анализ.
Последний раз редактировалось Мирослав; 30.11.2009 в 20:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winir31.sys','');
DeleteService('Winyg74');
DeleteService('Winls07');
DeleteService('Winir31');
DeleteService('SmcServiceDcomLaunch');
DeleteService('RemoteAccessSmcServiceDcomLaunch');
DeleteService('AudioSrvRasMan');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winir31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg74.sys');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Hacktool rootkit после выполнения скрипта
Скрипт выполнен...произошла самоперезагрузка системы. Отправил карантин по правилам, не уерен что дошел! Провел заново стандартные скрипты в AVZ и Hijack...новые логи прилагаются.
Спасибо, жду ответа.
Последний раз редактировалось Мирослав; 30.11.2009 в 20:21.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe','');
BC_DeleteSvc('Winud31');
BC_DeleteSvc('Wincj86');
BC_DeleteSvc('WZCSVCHidServ');
BC_DeleteSvc('SmcServiceDcomLaunch');
BC_DeleteSvc('RemoteAccessSmcServiceDcomLaunch');
BC_DeleteSvc('Autodeskdmadmin');
BC_DeleteSvc('AudioSrvRasMan');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winud31.sys');
DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Hacktool rootkit после выполнения скрипта 2 серия
Ок, провел операции... отправляю логи...и карантин
Последний раз редактировалось Мирослав; 30.11.2009 в 20:21.
-
Junior Member
- Вес репутации
- 58
Дружище, тебя наверное уморили проблемами...
-
пофиксите ...
Код:
O2 - BHO: (no name) - {AA58ED58-01DD-4D91-8333-CF10577473F7} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
больше ничего плохого ...
-
-
Junior Member
- Вес репутации
- 58
Шикарно
Шикарно. Спаибо огромное. Все профиксил как предписали. V - Bond вопросик на последок, данная вредоносная прога не нанесла ли мне серьезных ну или средней тяжести повреждений системы. Или онане расчитана на это, имеется ввиду надо ли проводить переустановку системы? Как отблагодарить тебя даж не знаю, мож денег на телефон кинуть..)
-
побывавший у вас зловред использовался для организации спам рассылок и атак на другие компьютеры, может еще чего ... ( у вас воровался трафик)
-
-
Junior Member
- Вес репутации
- 58
спс
Трафика нет как такового - АНЛИМ ибо, т.е. потерь никаких
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aug (DrWEB: BackDoor.Bulknet.225)
-