-
Junior Member
- Вес репутации
- 51
Недоудаленный Симантиком hacktool rootkit
Доброй ночи!
1. Недавно Приехал из командировки и обнаружил, что антивирус Symantec каждые 15 минут детектирует, но не удаляет вирус hacktool rootkit. Предысторию не знаю. Никто не сознается
2. я удалил зараженный файл вручную...не особенно задумываясь, честное слово, создал файл с таким же названием и поставил рид онли. Симантик перестал ругаться, но зато стало регулярно выскакивать сообщение "An unhandled win32 exeption occured in svchost" при этом компутер стал ощутимо под тормаживать время от времени.
3. на следующий день запустил spybot, фуллскан симантиком и фуллскан AVZ.
4. тк это ничего не помогло - пришел на ваш форум, зарегистрировался и проделал пункты из правил.
5. спасите-помогите. буду благодарен! =)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\glottis.utfprime\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\GLOTTIS.UTFPRIME\Главное меню\Программы\Автозагрузка\siszpe32.exe','');
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\Documents and Settings\GLOTTIS.UTFPRIME\Главное меню\Программы\Автозагрузка\siszpe32.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('c:\documents and settings\glottis.utfprime\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
выполнил скрипт
послал карантин
сделал новые логи AVZ и HIjack, прикрепил их.
-
Как ведет себя антивирус?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Как ведет себя антивирус?
смирно, не ругается!
что, теперь все впорядке?
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
Больше ничего плохого
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
тогда спасибо большое!
DDD
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\wuaucldt.exe - Backdoor.Win32.HareBot.blb ( DrWEB: Trojan.DownLoad2.3171, AVAST4: Win32:Malware-gen )
-