Здравствуйте!!! Сегодня утром меня атаковали. Symantec AntiVirus обнаружил вирус - "Hacktool.Rootkit". Попытки избавиться от вируса были тщетны. Вирус по прежнему проживает незаконно на моей жил. площади. Очень прошу. Помогите.
Здравствуйте!!! Сегодня утром меня атаковали. Symantec AntiVirus обнаружил вирус - "Hacktool.Rootkit". Попытки избавиться от вируса были тщетны. Вирус по прежнему проживает незаконно на моей жил. площади. Очень прошу. Помогите.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\rdl7005.tmp.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\C1E34567\pin[1].exe',''); QuarantineFile('C:\WINDOWS\system32\secjhtpn.exe',''); QuarantineFile('C:\Documents and Settings\User\User.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\.exe',''); DeleteFile('C:\Documents and Settings\LocalService\.exe'); DeleteFile('C:\Documents and Settings\User\User.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\C1E34567\pin[1].exe'); DeleteFile('C:\WINDOWS\Temp\rdl7005.tmp.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Уважаемый Гриша, может быть я сделал, что то ни так? В AVZ в меню "файл- Выполнить скрипт" я скопировал выше написанный скрипт и нажал кнопку "запустить". После нажатии кнопки "запустить" комп перезагрузился. После перезагрузки, появились проблемы- брандмауэр выключился и не включается+ комп не может найти связь с инетом.
Я пишу с ноутбука. Я не знаю, что мне делать. Помогите пожалуйста.
Сделайте новые логи...
Новые логи :
Карантин где?
Я отправил еще раз. Получили?
Это все что было в карантине?
Извините, похоже до этого я отправил не совсем то.
Выполнил повторную отправку карантина под папкой "virus.zip"
В нем вложенно 5 файлов и 1 один из них "secjhtpn.exe" . Я его запомнил, потому что
каждый раз когда я запускаю Windoows появляется окно в котором написанно "в приложении secjhtpn.exe обнаруженна ошибка"...Да, компьютер загружается очень долго, примерно 10 мин просто висит картинка рабочего стола, потом появляются папки на рабочем столе.
Сегодня снова о себе дал знать вредоносный "Rootkit" - его обнаружил антивирус.
+++++++++++++++++++++++++++++++++++++++++++++++secjhtpn.exe_ - Trojan-Spy.Win32.Agent.akzg,
User.exe_ - Trojan.Win32.Nomen.b
Детектирование файлов будет добавлено в следующее обновление.
Добавлено через 3 минуты
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\secjhtpn.exe',''); DeleteFile('C:\WINDOWS\system32\secjhtpn.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(14); BC_Activate; RebootWindows(true); end.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
- Установите IE 8
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 08.04.2009 в 18:20. Причина: Добавлено
Вот повторные логи:
Карантин отправил.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\user.exe - Trojan.Win32.Nomen.b ( DrWEB: Trojan.DownLoad.33158 )
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\c1e34567\pin[1].exe - Trojan-PSW.Win32.LdPinch.afap
- c:\windows\system32\secjhtpn.exe - Trojan-Spy.Win32.Agent.akzg
- c:\windows\temp\rdl7005.tmp.exe - Trojan-PSW.Win32.LdPinch.afap
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Virusman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.