-
Junior Member
- Вес репутации
- 62
Подозрение на Руткит
Здравствуйте! На компьютере регулярно отваливается служба GenericHostProcess. Иногда исчезают из общего доступа расшаренные папки. Иногда становится недоступным сетевой принтер. Изредка Avast сообщает об обнаруженном RootKit и предлагает его удалить, что будто бы успешно делает. Недавно стала теряться мышь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Базы AVZ обновить, логи переделать!
-
-
Junior Member
- Вес репутации
- 62
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('MEMSWEEP2');
QuarantineFile('D:\Uzveri\Lav.rov','');
QuarantineFile('C:\WINDOWS\system32\1.tmp','');
DeleteFile('C:\WINDOWS\system32\1.tmp');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MEMSWEEP2');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 62
Теперь при перезагрузке Винда находит какое-то новое оборудование и запускает мастер его установки. (Пока жал отмена, спеша сделать новые логи, поэтому не знаю, чего она там найти собиралась).
-
Выполните скрипт:
Код:
begin
ExecuteStdScr(6);
RebootWindows(false);
end.
Система перезагрузится.
Что с проблемами?
-
-
Новое оборудование удалите из диспетчера задач.
Вам известны эти файлы\папки:
C:\Program Files\TROIK@\info.exe
D:\Uzveri\Lav.rov
D:\server
D:\progs\Reminder\Reminder.exe
?
-
-
Junior Member
- Вес репутации
- 62
При последней перезагрузке никакого оборудование не находил. В диспетчере устройств всё чисто. Только там есть Jungo/WinDriver - я не обращал внимания, было ли это раньше, но что это такое, я не знаю.
По ссылкам:
C:\Program Files\TROIK@\info.exe - биржевой клиент.
D:\Uzveri\Lav.rov - просто папка с пользовательскими файлами
D:\server - папка расшаренная, в т.ч. на запись.
D:\progs\Reminder\Reminder.exe - программа-напоминалка.
В целом всё сейчас работает, GenericHostProcess давно не вылетал (раньше это происходило довольно быстро после включения). Надеюсь, у меня всё хорошо! Спасибо!
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-