Показано с 1 по 6 из 6.

После лечения остался руткит (заявка № 55994)

  1. #1
    Junior Member Репутация
    Регистрация
    29.09.2009
    Сообщений
    3
    Вес репутации
    30

    Thumbs up После лечения остался руткит

    Пришлось лечить машинку. Там был зоопарк: пару троянов, авторан и z-connection. В целом удалось очистить, но остался какой-то руткит, и никак не могу удалить пару файлов
    C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp, c:\windows\system32\taskswitch.exe

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CoolSwitch');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','utm5_wintray');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nodenable');
    end.
    Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    29.09.2009
    Сообщений
    3
    Вес репутации
    30
    utm5_wintray это программа клиент биллинга UTM_Netup. Файл с подозрительными объектами отправил
    Файл сохранён как 090930_144847_virusinfo_files_COMP_4ac3378f90044.z ip
    Размер файла 19657274
    MD5 42d3244bd42fba7faa25b2f3b0ed4d20

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от CyberHelper Посмотреть сообщение
    Архив 090930_144847_virusinfo_files_COMP_4ac3378f90044.z ip, загружен 30.09.2009 1817, размер 19657274 байт
    Всего файлов: 39 (исполняемых 39), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    занесены в базу безопасных AVZ: 0
    Ничего подозрительного.

  6. #5
    Junior Member Репутация
    Регистрация
    29.09.2009
    Сообщений
    3
    Вес репутации
    30
    Спасибо. Но меня вот это беспокоит
    Протокол антивирусной утилиты AVZ версии 4.32
    Сканирование запущено в 02.10.2009 9:00:26
    Загружена база: сигнатуры - 243180, нейропрофили - 2, микропрограммы лечения - 56, база от 29.09.2009 22:38
    Загружены микропрограммы эвристики: 374
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 144957
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    [COLOR="Red"][/Функция kernel32.dlloadLibraryExW (581) перехвачена, метод CodeHijack (метод не определен)[COLOR]
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=0846E0)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055B6E0
    KiST = 80503A70 (284)
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Анализ для процессора 2
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    >> Маскировка драйвера: Base=A9634000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"
    Поиск маскировки процессов и драйверов завершен
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 26
    Количество загруженных модулей: 256
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 282, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 02.10.2009 9:00:46
    Сканирование длилось 00:00:22
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Деинсталлируйте NOD32 и посмотрите, ичез ли перехват.

  • Уважаемый(ая) zwolt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 25.11.2011, 16:25
    2. Ответов: 1
      Последнее сообщение: 12.03.2011, 03:14
    3. Остался ли вирус в системе после лечения?
      От subsidii2000 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.02.2010, 17:22
    4. aekgoprn.dll остался после Digital Access
      От Whitefoot в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.12.2009, 17:10
    5. Ответов: 3
      Последнее сообщение: 10.06.2009, 10:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01365 seconds with 16 queries