Junior Member
Вес репутации
57
Hacktool.Rootkit не могу победить
Добрый день!
Появилась проблема - на ПК одного сотрудника при загрузке появляется синий экран в промежутке между загрузкой логотипа Windows и окном авторизации минут на 15. (ПК отключила от сети и Инета. )
Symantec обнаруживает Hacktool.Rootkit и помещает в карантин/удаляет некий video.sys, только это не помагает. В msconfig в Автозагрузке появляется winhelp32.exe после каждой перезагрузки ПК.
Не могу удалить из реестра запуск winhelp32.bkp и vmmreg32.bkp. Помогите, пожалуйста!!!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword , поищите и скопируйте файлы:
Код:
c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
Скопированные с помощью IceSword файлы сохраните в карантине .Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Выполните скрипт 2
Код:
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Спасибо за скорую помощь! Комп стал грузиться как "выздоровевший". Карантин отослала. Логи прилагаю. Все ли с ним ОК?
Вложения
-Пофиксите
Код:
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-19\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O20 - AppInit_DLLs: vmmreg32.dll
Повторите логи по п. 2 и 3 Диагностики.
Junior Member
Вес репутации
57
Выполнила, под учеткой пользователя, чтобы выйти в инет. Очень меня смущает процесс LckFldService.exe.
Вложения
Сообщение от
Tessy
Очень меня смущает процесс LckFldService.exe.
Это от приложения: Folder Access
-Пофиксите
Код:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O4 - HKCU\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
Повторите логи по п. 2 и 3 Диагностики.
Сообщение от
Tessy
Выполнила, под учеткой пользователя,
Нужно выполнять все с правами админстратора.
Последний раз редактировалось Rene-gad; 23.09.2008 в 14:47 .
Причина: Добавлено
Junior Member
Вес репутации
57
Спасибо, посветили. ПК не мой. Folder Access не пользовалась. А в остальном поведение адекватное. Можно возвращать пользователю?
Junior Member
Вес репутации
57
Вложения
Ключ реестра
Код:
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, Run
Ключ реестра
Код:
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
значение C:\WINDOWS\SYSTEM32\winhelp32.exe удалить.
Сервис Пак 3 поставить, возможно активация потребуется.
Junior Member
Вес репутации
57
Выполнила. Спасибо за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172) c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172) c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.kty (DrWEB: archive: Trojan.NtRootKit.138 c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.kty (DrWEB: archive: Trojan.NtRootKit.138