Показано с 1 по 8 из 8.

Помогите - RootKit ! (заявка № 56945)

  1. #1
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    5
    Вес репутации
    53

    Thumbs up Помогите - RootKit !

    Подцепил руткит, стал жутко тормозить IE6 при открытии каждого нового окна. Плюс полезла на комп всякая разная живность . С ней более-менее мы с антивирусом справляемся, а вот с самим руткитом ничего поделать не можем . Был вычислен файл, с помощью которого он проник на компьютер: FILE.EXE в директории TEMP. Dr.Web CureIt определяет его его как Trojan.NtRootKit.3523. Помогите пожалуйста, держаться нету больше сил...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключив интернет и антивирус, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     QuarantineFile('C:\WINDOWS\System32\servises.exe','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\System32\servises.exe');
    RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
    CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=56945).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    5
    Вес репутации
    53
    После выполнения скрипта симптомы (тормоза) прошли. Карантин выслал. Логи прикрепляю. Смущает, что AVZ снова нашел перехваченную функцию NtConnectPort, перехватчик не определен. Или это нормально?

  5. #4
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    5
    Вес репутации
    53
    Сорри, вот логи

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    Заразы больше не видно, плохо только вот это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Ставьте SP3 + последующие обновления и IE8.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    5
    Вес репутации
    53
    Пофиксил. Все ок. Про XP SP1 и IE6 - задумываюсь, да все рука никак не поднимается . Ну, придется, видно. Many thanks!

  8. #7
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    5
    Вес репутации
    53
    Я тут вычислил, откуда и как ко мне этот вирус проник. Нашел по крайней мере 9 зараженных web-серверов в рунете, которые распространяют вирусы через такой же механизм. Некоторые из них достаточно популярны. Ну и нашел 2 портала, на которых вирусы собственно хостятся. Эта инфа может быть кому-нибудь полезна, чтобы прекратить распространение?

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )


  • Уважаемый(ая) babay, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите, Rootkit творит что хочет!
      От musicorc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.12.2010, 01:32
    2. помогите!!! Win32/rootkit
      От den701 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 20.05.2009, 12:13
    3. Помогите с Rootkit'ом
      От Slippin в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.02.2009, 15:43
    4. Win32:Rootkit-gen [Rtk] помогите!!!
      От root456 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.06.2008, 11:07
    5. Помогите PLEASE! Hacktool.Rootkit
      От Vidok в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 07.02.2008, 18:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01448 seconds with 17 queries