-
Junior Member
- Вес репутации
- 61
Посмотрел прайс - получил Hacktool.Rootkit
Скачал и открыл прайс по этой ссылке: (внимание, вирус!!!!) http*espectaculosinterface.com/em/price.zip, после чего Symantec Antivirus обнаружил угрозу под названием Hacktool.Rootkit и успешно удалил файл wfsintwq.sys. После перезагрузки этот файл появляется снова и так по кругу. Проверил комп со свежего LiveCD DrWeb - вирусы были обнаружены только в карантине Symantec.
Утилиты AVZ и HiJackThis не запускаются, даже в переименованном виде.
Загрузился с другой учетной записью с правами администратора, но там вирус не обнаруживается. Прилагаю логи из-под этой учетки.
Последний раз редактировалось V_Bond; 07.04.2010 в 15:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
V_Bond
программа запускается, начинает сканировать сервисы и отрубается с ошибкой (и в обычном и в безопасном режиме).
Последний раз редактировалось DeAL; 07.04.2010 в 16:35.
Причина: Добавлено
-
Сделайте логи из проблемной учетки с помощью полиморфного AVZ (ссылка в моей подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
thyrex
Сделайте логи из проблемной учетки с помощью полиморфного AVZ (ссылка в моей подписи)
Из проблемной учетки не запускается.
-
Используйте "OSAM" (Online Solutions Autorun Manager)
В меню драйверов правой кнопкой по wfsintwq.sys и "Turn Run Off", потом подтвердите перезагрузку.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
thyrex
В списке драйверов такого файла нет (его при загрузке удаляет Symantec).
Был подозрительный файлы a5r0ljhc.sys и sptd.sys с записью hidden registry entry, rootkit activity, но их я отключил в OSAM и потом физически удалил, загрузившись с LiveCD. После перезагрузки все равно вылез Hacktool.Rootkit.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
thyrex
Все в том же файле?
Да, после каждой перезагрузки Symantec Antivirus обнаруживает угрозу под названием Hacktool.Rootkit и успешно удаляет файл wfsintwq.sys.
-
Отключите службу восстановления системы (см. Приложение 1 Правил).
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
AndreyKa
Отключите службу восстановления системы (см. Приложение 1 Правил).
Службу отключил в учетной записи с правами админа, но уже после снятия логов AVZ и HiJackThis. После отключения службы уже неоднократно гонял AVZ и перезагружался.
-
Установите надежные пароли на все учетные записи пользователей с правами администратора.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
AndreyKa
Установите надежные пароли на все учетные записи пользователей с правами администратора.
Установите на Windows
Service Pack 3 (может потребоваться активация) и последующие обновления.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении:
http://virusinfo.info/showthread.php?t=3519
Пароли все надежные - буквенно-цифровые, более 8 знаков.
SP3 уже установлен, а обновления качаются через Windows update.
Процедуру сделал. Закачал как карантин.
Последний раз редактировалось DeAL; 13.04.2010 в 22:09.
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\vin\Application Data\drivers\winupgro.exe');
DeleteFile('C:\Program Files\Analog Devices\SoundMAX\Smax4.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Переустановите драйвер звукового устройства.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\vin\application data\drivers\winupgro.exe - Backdoor.Win32.Agent.arwe
- c:\program files\analog devices\soundmax\smax4.exe - Backdoor.Win32.Agent.arwe
-