При загрузке Symantec находит вирус Hacktool.Rootkit
Также, некоторые програми не запускаются , а Visual Studio - вылетает .
При загрузке Symantec находит вирус Hacktool.Rootkit
Также, некоторые програми не запускаются , а Visual Studio - вылетает .
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('l:\windows\system32\riodrv.exe'); QuarantineFile('L:\WINDOWS\system32\riodrv.exe',''); QuarantineFile('L:\WINDOWS\system32\msvcrt57.dll',''); QuarantineFile('L:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KJQRAFIV\1[1].exe',''); DeleteFile('L:\WINDOWS\system32\riodrv.exe'); DeleteFile('L:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('L:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KJQRAFIV\1[1].exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
новые логи :
Последний раз редактировалось TRruleZ; 05.06.2009 в 22:05.
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); QuarantineFile('L:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('L:\WINDOWS\System32\Drivers\sfc.SYS'); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll'); BC_Importall; ExecuteRepair(16); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин.
Повторите пункты 2 и 3 диагностики.
Карантин отослал.
Файли из диагностики пункты 2 и 3:
Да, еще хочу сказать ,что обнаружил в L:\Program Files\Microsoft Common файл svchost.exe, ето троян ?
Последний раз редактировалось Rene-gad; 05.06.2009 в 23:54.
Ой, моя ошибка в предыдущем скрипте, не те пути
Выполните ещё раз скрипт
Карантин пришлите.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('L:\WINDOWS\System32\sfcfiles.dll',''); QuarantineFile('L:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('L:\WINDOWS\System32\Drivers\sfc.SYS'); RenameFile('L:\WINDOWS\System32\sfcfiles.dll', 'L:\WINDOWS\System32\sfcfiles.bak'); CopyFile('L:\WINDOWS\System32\dllcache\sfcfiles.dll', 'L:\WINDOWS\System32\sfcfiles.dll'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Переименнуйте его во что угодно, заархивируйте его с паролем virus и пришлите по ссылке.L:\Program Files\Microsoft Common файл svchost.exe, ето троян ?
Пункт 2 диагностики повторите
Карантин отослал.
Пункт 2 диагностики
и подозрительной файл svchost.exe :
Последний раз редактировалось TRruleZ; 06.06.2009 в 00:04.
shotoneto_svchost.zip - из темы уберите!
Убирать в "Мой кабинет" - "Вложения"
В логах больше ничего плохого.
Файлик svchost.exe отправил куда надо за вас...
Спасибо за помощь!
shotoneto_svchost.zip - В файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Worm.Win32.AutoRun.apgb
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- l:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr
- \shotoneto_svchost.exe - Worm.Win32.AutoRun.apgb
Уважаемый(ая) TRruleZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.