здравствуйте, помогите поймать руткита на этой машине стоит касперский антивирус 2010 но руткит тут поселился раньше чем он в сети все машины ругаются на него и пишут Intrusion.Win.NETAPI.buffer-overflow.exploit
здравствуйте, помогите поймать руткита на этой машине стоит касперский антивирус 2010 но руткит тут поселился раньше чем он в сети все машины ругаются на него и пишут Intrusion.Win.NETAPI.buffer-overflow.exploit
Последний раз редактировалось White--007; 12.04.2010 в 12:23.
Отключите восстановление системы
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\autorun.inf',''); QuarantineFile('E:\strongkey-rc1.3-build-208.exe',''); QuarantineFile('C:\Documents and Settings\User\РРРРРРРРРРРРРРРРРРРРРР.avi',''); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); TerminateProcessByName('c:\windows\system\dllcache.exe'); QuarantineFile('c:\windows\system\dllcache.exe',''); DeleteFile('c:\windows\system\dllcache.exe'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); DeleteFile('C:\Documents and Settings\User\РРРРРРРРРРРРРРРРРРРРРР.avi'); DeleteFile('E:\strongkey-rc1.3-build-208.exe'); DeleteFile('E:\autorun.inf'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
скрипт выполнил карантин послал вот новые логи
Последний раз редактировалось White--007; 12.04.2010 в 12:18.
отключите восстановление системы повторите логи
не могу отключить восстановление не запускается exe файл не работает редактор реестра ворд и ещё пара программ
Последний раз редактировалось White--007; 12.04.2010 в 12:18.
Через Мастер поиска и устранения проблем в AVZ пройдитесь.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
чисто там говорит что нет проблемм!!!(((
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных -- Надо с Лайва проверяться. Есть подозрение на файловый вирус.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
с лайва проверялся (Kasperski ResDisk) он там кучу понаходил а толку нет да и ещё комп теперь ваще не грузиться(((((( печально. пишет ошибку и дальше приветствия с выбором пользователей не идёт
Надо проверяться до тех пор пока Kasperski ResDisk не начнет ничего не находить.
Далее чинить реестр тоже с Лайва.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
всё вроде заличил поставил KIS2010 всех погрохал с Kasperski ResDisk потом коекак завёл винду сегодня вроде всё спокойно нашёл каких то 2 трояна в темпах, KIS2010 их тутже грохнул такчто в логах C:\WINDOWS\system32\9.tmp и C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\H1D76Y26\est[1].exe можете не писать. кстати "!!! Внимание !!! Восстановлено 63 функций KiST в ходе работы антируткита" Это чё?
Последний раз редактировалось White--007; 12.04.2010 в 12:18.
реестр был впорядке был изменён файл userinit.exe на userini.exe
Добавлено через 24 минуты
и ещё ни как не могу избавиться от ошибки связанной с Microsoft .Net framework при открытии программы пишет Ошибка при инициализации приложения (0хс000007В) Net framework переустановил на новый не помогло
Последний раз редактировалось White--007; 05.03.2010 в 09:10. Причина: Добавлено
выполнить скрипт:
Висит в процессах куча, связанная с Дотнетом.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\fonts\services.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','userini'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Логи повторите после перезагрузки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
всё сделал неделя прошла всё спокойно вот только ошибка с Microsoft .Net framework осталась может поможете если нет и в логах чисто то можно закрывать тему да и ответьте на вопрос пожалуйста что такое !!! Внимание !!! Восстановлено 63 функций KiST в ходе работы антируткита
Последний раз редактировалось White--007; 12.04.2010 в 12:18.
выполните скрипт
повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\fonts\services.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
вот новые логи
Последний раз редактировалось White--007; 12.04.2010 в 12:18.
лог hijackthis сделайте
вот лог
Последний раз редактировалось White--007; 12.04.2010 в 12:18.
пуск выполнить sc delete FCI
повторите логи ...
вот новые логи всё выполнил у меня не работает одна программа по здаче налоговой отчётности мы не могли сбить её настройки она работает через браузер и не запускается ещё одна программа из той же серии только тут exe говорит ошибка при инициализации приложения (0xc000007b) переустановка не помогла
Последний раз редактировалось White--007; 12.04.2010 в 12:18.
Уважаемый(ая) White--007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.