Перейти к содержанию
Правила раздела

Активное заражение RootKit

Steel Rain

От Steel Rain
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Steel Rain Продвинутый

Steel Rain

Опубликовано
Опубликовано

Всем доброго времени суток.

 

На машинке Win XP prof. При проверке avz выдает кучу ошибок приложения cldapp.exe, которое, якобы, драйвер клавиатуры и лежит в ProgrammFiles. При этом не создается лог syscure. Так же показывает подозрение на RootKit практически во всех активных процессах. Подскажите пожалуйста как аккуратно извести зловреда, боюсь систему порушить.

hijackthis.log

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано

Пофиксил. Удалил, на всякий случай файлик cldapp.exe. После этого удалось сделать все логи. Посмотрите пожалуйста. Ничего нет?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. Не буду плодить темы, ещё один болезный. Симптомы такие: после подключения к интернету через некоторое время перестает обрабатывать запросы. Т.е. соединение показывает что есть, а страницы не открывает и ничего не пингует. При проверке avz обнаружил Trojan.Win32.Swisyn.akxb где то в system32. Вроде бы успешно удалил, но проблема осталась. Посмотрите пожалуйста, в чем дело. Вот логи:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('C:\WINDOWS\system32\ntos.exe');
TerminateProcessByName('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe');
TerminateProcessByName('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
O24 - Desktop Component 0: (no name) - (no file)

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Воспользуйтесь рекомендациями из данной статьи (проверьте систему zbotkiller'ом )

http://support.kaspersky.ru/faq/?qid=208636281

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Alexandr_XML
      [РЕШЕНО] Активное заражение Win64.SEPEH
      От Alexandr_XML
      Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.
      CollectionLog-2024.11.12-07.12.zip
    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • LorianThet
      Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От LorianThet
      Добрый день, ПК заразился трояном
      После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова
      Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS
      CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt
    • rottingcorpse
      [РЕШЕНО] заражение trojan.win32.sepeh и Trojan.Win32.Miner
      От rottingcorpse
      fff.zip
    • yare4kaa
      Вирусные заражения системы, торможения
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
×
×
  • Создать...