Показано с 1 по 8 из 8.

Снова RootKit (заявка № 49861)

  1. #1
    Junior Member Репутация
    Регистрация
    26.05.2009
    Сообщений
    24
    Вес репутации
    32

    Thumbs up Снова RootKit

    Коллеги, помогите вылечить Rootkit.

    Symantec-ом прошелся, восстановление системы выключил.

    Вопрос в тему, а есть ли способы борьбы с такой заразой в сети. Лучше естественно профилактические...
    Как я уже понял, Symantec не помогает... ((
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Пофиксить в HiJack
    Код:
     F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo before1main
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\sorry.exe,C:\WINDOWS\system32\sdra64.exe,
    O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\mlhost.exe
    O4 - HKLM\..\Run: [systme] C:\WINDOWS\system32\6A.exe
    O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
    O4 - HKCU\..\Run: [sms] C:\WINDOWS\mkchik.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
    DeleteFile('C:\WINDOWS\system32\calc.ifo');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\6A.exe','');
     QuarantineFile('C:\WINDOWS\sorry.exe','');
     TerminateProcessByName('c:\windows\system32\mlhost.exe');
     QuarantineFile('c:\windows\system32\mlhost.exe','');
     TerminateProcessByName('c:\windows\mkchik.exe');
     QuarantineFile('c:\windows\mkchik.exe','');
     TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
     DeleteFile('c:\windows\system32\drivers\svchost.exe');
     DeleteFile('c:\windows\mkchik.exe');
     DeleteFile('c:\windows\system32\mlhost.exe');
     DeleteFile('C:\WINDOWS\sorry.exe');
     DeleteFile('C:\WINDOWS\system32\6A.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(9);
    ExecuteREpair(16);
    ExecuteREpair(17);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    26.05.2009
    Сообщений
    24
    Вес репутации
    32
    Карантин отправил, логи ниже.
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Сами блокировали?
    >> Заблокировано изменение свойств экрана
    >> Заблокирована закладка Рабочий стол в окне свойств экрана
    >> Заблокирована закладка Заставка в окне свойств экрана
    >> Заблокирована закладка Параметры в окне свойств экрана
    >> Заблокирована закладка Оформление в окне свойств экрана
    >> Internet Explorer - заблокирована настройка домашней страницы
    >> Заблокированы настройки системы Windows Update
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    26.05.2009
    Сообщений
    24
    Вес репутации
    32
    Да, это Групповые политики в домене..

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Что с проблемами?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    26.05.2009
    Сообщений
    24
    Вес репутации
    32
    Вроде бы все нормально.

    Спасибо! ))

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.arkx ( DrWEB: Win32.HLLW.Autoruner.6815, BitDefender: Gen:Trojan.Heur.GM.00488160A0 )
      2. c:\windows\mkchik.exe - Trojan-Dropper.Win32.Agent.avoi ( BitDefender: Gen:Trojan.Heur.30A45B7D7D )
      3. c:\windows\system32\calc.ifo - Trojan-Downloader.Win32.Small.jyu
      4. c:\windows\system32\mlhost.exe - Trojan-Clicker.Win32.Delf.clz ( DrWEB: Trojan.Click.26134 )
      5. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.yvq

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) emishin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. снова TR/Rootkit.Gen
      От Brozaus в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.09.2010, 16:48
    2. И снова win32/Rootkit.Agent.ODG. :(
      От Alex Zimin в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 03.07.2009, 13:09
    3. и снова Rootkit.Agent.ODG
      От lexx_lg в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 24.06.2009, 00:20
    4. Снова этот HackTool.Rootkit
      От Kelly в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 03:59
    5. и снова про Rootkit.Win32.Small.bk
      От Artes в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.11.2008, 20:55

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01329 seconds with 17 queries