-
Junior Member
- Вес репутации
- 56
Перезагрузки, экраны смерти, autorun
Symantec Endpoint 11 постоянно при старте компьютера находит Hacktool Rootkit, убивает его - и так по кругу. Cureit не выявил ничего.
При использовании флэшек на них сразу же появляется autorun.inf и autorun.exe. Убиваешь - быстро возвращается обратно.
Помогите, плиз...
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\autorun.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\photo_id.exe','');
QuarantineFile('C:\Documents and Settings\user\photo_id.exe','');
DeleteFile('C:\Documents and Settings\user\photo_id.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\system32\photo_id.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\autorun.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 56
Сделано - карантин сейчас пришлю.
Вот логи.
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
-
В карантине Packed.Win32.Krap.x и Worm.Win32.Bezopi.cf
Плохого в новых логах не увидел. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
пардон - приболел неслегка.
Всё чисто, спасибо огромное!!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.MulDrop.49555, BitDefender: Trojan.Generic.2850281, AVAST4: Win32:Crypt-FMV [Trj] )
- f:\autorun.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.MulDrop.49555, BitDefender: Trojan.Generic.2850281, AVAST4: Win32:Crypt-FMV [Trj] )
- f:\autorun.inf - Worm.Win32.Bezopi.cf ( DrWEB: Win32.HLLW.Autoruner.7230, BitDefender: Trojan.Script.37235, NOD32: Win32/AutoRun.FakeAlert.AF worm, AVAST4: VBS:Malware-gen )
-