Junior Member
Вес репутации
55
BN??.TMP одолели! Rootkit.Win32.Agent.ikz
BN??.TMP одолели! KIS определяет их как Rootkit.Win32.Agent.ikz и вроде как не дает им ничего сделать. Но какой процесс их запускает? Полечил Dr.Web CureIt!'ом, прошелся KIS'ом.. Но есть сомнения, что затаилась зараза где-то..
Посмотрите, пожалуйста..
P.S. AVZ мне выдал почему-то две пары абсолютно одинаковых файлов-логов с разными именами, потому лишнего не высылаю..
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\N6f6K3Uq.sys','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\N6f6K3Uq.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
55
после выполнения скрипта и перезагрузки в карантине было пусто..
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
Вложения
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
55
после этого скрипта в карантине также было пусто..
вот логи..
Вложения
"Пофиксите" в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp');
DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите пункты 2 и 3 диагностики.
Junior Member
Вес репутации
55
Код:
DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
ну вот постепенно и до qip'овских dll добрались :-) они чем-то опасны?
Ок, сегодня как до дома доберусь - выполню..
Junior Member
Вес репутации
55
сделал..
на этот раз всё почистил?
Вложения
Последний раз редактировалось sl_ap; 01.04.2009 в 13:04 .
Junior Member
Вес репутации
55
ну вот постепенно и до qip'овских dll добрались :-) они чем-то опасны?
Ок, сегодня как до дома доберусь - выполню..
так нужно. Потому что очень часто из-за этого лагает IE.
Спасибо нажимают.
Junior Member
Вес репутации
55
Сообщение от
light59
так нужно. Потому что очень часто из-за этого лагает IE.
К счастью я не пользуюсь IE :-)
Сообщение от
sl_ap
К счастью я не пользуюсь IE :-)
к несчастью не все зловреды знают это посему пользуются его не закрытыми уязвимостями. ERGO: ИЕ нужно обновлять и патчить.