Коллеги, помогите вылечить Rootkit.
Symantec-ом прошелся, восстановление системы выключил.
Вопрос в тему, а есть ли способы борьбы с такой заразой в сети. Лучше естественно профилактические...
Как я уже понял, Symantec не помогает... ((
Коллеги, помогите вылечить Rootkit.
Symantec-ом прошелся, восстановление системы выключил.
Вопрос в тему, а есть ли способы борьбы с такой заразой в сети. Лучше естественно профилактические...
Как я уже понял, Symantec не помогает... ((
Пофиксить в HiJack
Выполните скрипт в AVZКод:F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo before1main F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\sorry.exe,C:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\mlhost.exe O4 - HKLM\..\Run: [systme] C:\WINDOWS\system32\6A.exe O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe O4 - HKCU\..\Run: [sms] C:\WINDOWS\mkchik.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\calc.ifo',''); DeleteFile('C:\WINDOWS\system32\calc.ifo'); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\6A.exe',''); QuarantineFile('C:\WINDOWS\sorry.exe',''); TerminateProcessByName('c:\windows\system32\mlhost.exe'); QuarantineFile('c:\windows\system32\mlhost.exe',''); TerminateProcessByName('c:\windows\mkchik.exe'); QuarantineFile('c:\windows\mkchik.exe',''); TerminateProcessByName('c:\windows\system32\drivers\svchost.exe'); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('c:\windows\mkchik.exe'); DeleteFile('c:\windows\system32\mlhost.exe'); DeleteFile('C:\WINDOWS\sorry.exe'); DeleteFile('C:\WINDOWS\system32\6A.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); ExecuteREpair(16); ExecuteREpair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил, логи ниже.
Сами блокировали?
>> Заблокировано изменение свойств экрана
>> Заблокирована закладка Рабочий стол в окне свойств экрана
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирована закладка Параметры в окне свойств экрана
>> Заблокирована закладка Оформление в окне свойств экрана
>> Internet Explorer - заблокирована настройка домашней страницы
>> Заблокированы настройки системы Windows Update
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, это Групповые политики в домене..
Что с проблемами?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде бы все нормально.
Спасибо! ))
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.arkx ( DrWEB: Win32.HLLW.Autoruner.6815, BitDefender: Gen:Trojan.Heur.GM.00488160A0 )
- c:\windows\mkchik.exe - Trojan-Dropper.Win32.Agent.avoi ( BitDefender: Gen:Trojan.Heur.30A45B7D7D )
- c:\windows\system32\calc.ifo - Trojan-Downloader.Win32.Small.jyu
- c:\windows\system32\mlhost.exe - Trojan-Clicker.Win32.Delf.clz ( DrWEB: Trojan.Click.26134 )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.yvq
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) emishin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.