Junior Member
Вес репутации
55
Компьютер живет своей жизнью (Hacktool.Rootkit)
Приветстсвую Уважаемые! Спасибо за то, что Вы есть!
Из фактических наблюдений:
1) Симантик при загрузке системы, по ходу работы в Интернете, иногда без каких-либо моих действий отлавливает файлы с Hacktool.Rootkit.
2) происходит самопроизвольное копирование на все подключаемые съемные носители файлов autorun.exe и autorun.inf
3) самопроизвольно создаются и хаотично запускаются файлы Cudo Romantio.exe
4) svchost.exe периодически вылетает (без очевидных последствий)
Возможно ли что-то сделать? Заранее благодарю!
Роман Н.К. (Cudo Romantio)
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Cudo Romantio\Application Data\~.exe,
O4 - HKLM\..\Run: [System] C:\WINDOWS\0x005.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\CUDORO~1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [] C:\WINDOWS\system32\config\systemprofile\.exe /i
O4 - HKCU\..\Run: [Cudo Romantio] C:\Documents and Settings\Cudo Romantio\Cudo Romantio.exe /i
O20 - Winlogon Notify: atietaxx - atietaxx.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\Cudo Romantio\Application Data\~.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\.exe','');
QuarantineFile('C:\WINDOWS\0x005.exe','');
QuarantineFile('C:\Documents and Settings\Cudo Romantio\Cudo Romantio.exe','');
QuarantineFile('C:\DOCUME~1\CUDORO~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\DOCUME~1\CUDORO~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\Cudo Romantio\Cudo Romantio.exe');
DeleteFile('C:\WINDOWS\0x005.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\Documents and Settings\Cudo Romantio\Application Data\~.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('acpi32');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('securentm');
BC_DeleteSvc('ws2_32sik');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=44795 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
55
Спасибо! Сделал все так, как было сказано. Карантин отправил. Прилагаю логи.
Вложения
В AVZ -> файл-> Выполнить скрипт
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
BC_ImportDeletedList;
BC_DeleteSvc('port135sik');
BC_DeleteSvc('netsik');
BC_DeleteSvc('i386si');
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44795
Повторите логи.
Junior Member
Вес репутации
55
После последнего скрипта - карантин пуст. Логи прилагаю.
Факты: никаких видимых проявлений заразы (в том числе и из перечисленного в первом сообщении) не происходит. Однако, Ситмантик отловил Trojan Horse в файле uti2mzq2.sys дважды и поместил их в изолятор.
Вложения
Ситмантик отловил Trojan Horse в файле uti2mzq2.sys дважды и поместил их в изолятор.
Раз Симантек отловил, значит он уже не опасен.
В логах больше ничего подозрительного.
I am not young enough to know everything...
Junior Member
Вес репутации
55
Спасибо огромное, Великие Люди!
То, что Вы делаете - большое доброе дело!
Спасибо,
с уважением Роман Н.К. (Cudo Romantio)
Пожалуйста! Заходит к нам еще
Забыл добавить: рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\cudo romantio\cudo romantio.exe - Trojan-Dropper.Win32.Agent.anty ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Generic.1757627 ) c:\windows\system32\config\systemprofile\.exe - Trojan-Dropper.Win32.Agent.anty ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Generic.1757627 ) c:\windows\system32\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.afjf ( BitDefender: Trojan.Ozdok.F )