На флешку записывает постоянно system.exe и autorun. При этом Symantec периодически находит HackTool.Rootkit в C:\TEMP.
Помогите, пожалуйста прогнать заразу...
System.exe на флешке + HackTool.Rootkit в C:\TEMP
На флешку записывает постоянно system.exe и autorun. При этом Symantec периодически находит HackTool.Rootkit в C:\TEMP.
Помогите, пожалуйста прогнать заразу...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
Отправил. На самом деле я уже пытался его удалять до обращения к вам, но все оказалось не так просто, видимо...
Спасибо за оперативность.
Чуть не забыл логи...
Чисто...
Был:
C:\Program Files\Microsoft Common\svchost.exe-Trojan-Dropper.Win32.Agent.aglk
Не знаю, связано это как-то или нет, но через день перестал запускаться процесс explorer при запуске Windows....
Давайте свежие логи...
Дык, как бы мне их получить, логи эти, без эксплорера-то?Сообщение от Гриша
Вот новые логи. В общем, нету ярлычков, панели задач, кнопки пуск. Присылать все приходится через
Нужен еще лог syscure...
Все, я разобрался. Оставался ключ в реестре. Был прописан Debugger по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Ссылался на svchost в Program Files, которого мы удалили. И Без него эксплорер отказывался запускаться.
Всем спасибо!
Периодически после перезагрузки появляется ветка в реестре с Debugger'ом explorer.exe, которая ссылается на удаленный svchost.
Посмотрите, пожалуйста, откуда она берется. Восстановление системы отключено.
Выполните скрипт, карантин по правилам:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\a.sys',''); DeleteService('vsdatant'); DeleteFile('C:\WINDOWS\system32\Drivers\a.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Закачал. Когда выполнял скрипт первый раз, он заругался - но я не успел прочитать, комп ушел перезагружаться. После перезагрузки в карантине никого не было. Сделал скрипт 2-ой раз. На перезагрузке повис. Перезагрузил ресетом, после этого в карантине нашел две копии нужного файла....
Это ini- файлы, а не те, которые мы искали. Логи повторите.Перезагрузил ресетом, после этого в карантине нашел две копии нужного файла....
Есть...
Воспользуйтесь Gmer или IceSword и закарантиньте и пришлите нам этот a.sys
после этого выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('vsdatant', 4); StopService('vsdatant'); DeleteFile('C:\WINDOWS\system32\DRIVERS\a.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\a.sys'); BC_DeleteSvc('vsdatant'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Gmer и IceSword этого файла не видят. В проводнике тоже не видно.
Давайте посмотрим новые логи.
Вот опять. Причем в этот раз ключ в реестр прописался как раз в момент перезагрузки между sys_cure и sys_check логами. Ключ я убил.
Уважаемый(ая) RedRabbit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
