Показано с 1 по 11 из 11.

HELP Rootkit (заявка № 42645)

  1. #1
    Junior Member Репутация
    Регистрация
    27.03.2009
    Сообщений
    5
    Вес репутации
    32

    Exclamation HELP Rootkit

    Добрый день.
    Вчера обнаружил постоянное обращение к дисководу.
    Поскольку ни одна программа не обращалась к дисководу проверил dr.web Cureit память ничего не обнаружил. Вставил дискету и на нее записались autorun.inf, autorun.exe. Установил копоративного Symantec_Endpoint_Protection_11 базы обновились, но он также в памяти ничего не нашел. После перезагрузки Симантек начал ругаться на разные файлы в c:\winxp\system32\drivers\*.sys. загрузился в safe mode
    обращение к дисководу продолжалось запустил снова dr.web Cureit он в памяти снова ничего не нашел. загрузился в safe mode command prom only запустил AVPtool полную проверку, нашел Rootkit.Win32.Small.ut в карантине симантека и Trojan-Downloader.HTML.IFrame.ii в кеше Оперы.
    В command prom only обращений к дисководу не было, когда запустил explorer снова началось.
    Когда выполнял Правила после перезагрузки обращение к дисководу пропало, но на флешку продолжают записываться файлы autorun.inf, autorun.exe. Пожалуйст помогите.
    Вложения Вложения
    Последний раз редактировалось toliksu; 27.03.2009 в 14:06. Причина: забыл добавить

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     ClearQuarantinE;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\Quarantine\APQ239.tmp','');
     QuarantineFile('K:\autorun.exe','');
     QuarantineFile('K:\autorun.inf','');
     QuarantineFile('C:\Temp\rdl1.tmp','');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     DeleteFile('C:\Temp\rdl1.tmp');
     DeleteFile('K:\autorun.inf');
     DeleteFile('K:\autorun.exe');
    BC_Importall;
     ExecuteRepair(16);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=42645
    Повторите логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    27.03.2009
    Сообщений
    5
    Вес репутации
    32
    карантин выслал.
    Поворить логи по правилам проблематично. после логина в нормальном состоянии windows висит.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Погорячился
    Вы сейчас как пишите?

    Добавлено через 2 минуты

    Система висит? Есть возможность диспетчер задач открыть?
    Последний раз редактировалось light59; 27.03.2009 в 13:00. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    27.03.2009
    Сообщений
    5
    Вес репутации
    32
    с другого компьютера.
    помойму в итоге не запускается explorer

    Добавлено через 1 минуту

    диспетчер задач открывается
    Последний раз редактировалось toliksu; 27.03.2009 в 13:11. Причина: Добавлено

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Запустите AVZ.
    Файл- Восстановление системы- выбрать пункт 9. (Удаление отладчиков).
    Перегрузитесь.

    Добавлено через 1 минуту

    Если всё нормально, то шлите карантин, повторяйте логи.
    Последний раз редактировалось light59; 27.03.2009 в 13:14. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    27.03.2009
    Сообщений
    5
    Вес репутации
    32
    Повторил, систма работает но грузится очень долго.
    на флешку больше не пишется.
    а карантин вложил.
    Последний раз редактировалось toliksu; 27.03.2009 в 15:01.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    virus.zip из темы убрать! Вы уже его прислали, как я вас просил.
    Убирать в "Мой кабинет" - "Вложения".
    делаем новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    27.03.2009
    Сообщений
    5
    Вес репутации
    32
    новые логи.
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Почистите систему от мусора http://virusinfo.info/showthread.php?t=10025.
    Удалите карантин вашего антивируса.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\all users\application data\symantec\srtsp\quarantine\apq239.tmp - Rootkit.Win32.Small.ut ( DrWEB: Win32.HLLW.Autoruner.6317, BitDefender: Rootkit.Agent.AIUL )
      2. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.adhy ( DrWEB: Win32.HLLW.Autoruner.6326 )
      3. c:\temp\rdl1.tmp - Rootkit.Win32.Small.ut ( DrWEB: Win32.HLLW.Autoruner.6317, BitDefender: Rootkit.Agent.AIUL )
      4. k:\autorun.exe - Worm.Win32.AutoRun.adhy ( DrWEB: Win32.HLLW.Autoruner.6326 )


  • Уважаемый(ая) toliksu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 Вирусы?
      От Romik_lv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.09.2011, 19:34
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53
    5. Rootkit that bypasses Anti-Rootkit Software
      От Simple10 в разделе Viruses, Adware, Spyware, Hijackers
      Ответов: 3
      Последнее сообщение: 22.02.2008, 07:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00843 seconds with 17 queries