Перейти к содержанию
Правила раздела

Активное заражение RootKit

Steel Rain

Автор Steel Rain,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Steel Rain

Steel Rain 2

Опубликовано
Опубликовано

Всем доброго времени суток.

 

На машинке Win XP prof. При проверке avz выдает кучу ошибок приложения cldapp.exe, которое, якобы, драйвер клавиатуры и лежит в ProgrammFiles. При этом не создается лог syscure. Так же показывает подозрение на RootKit практически во всех активных процессах. Подскажите пожалуйста как аккуратно извести зловреда, боюсь систему порушить.

hijackthis.log

virusinfo_syscheck.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Никаких руткитов не замечено.

 

Пофиксите в HiJack

O4 - HKLM\..\Run: [KMCONFIG] E:\Program Files\Keyboard Driver\StartAutorun.exe KMConfig.exe

Ссылка на сообщение
Поделиться на другие сайты
Steel Rain

Steel Rain 2

Опубликовано
  • Автор
Опубликовано

Пофиксил. Удалил, на всякий случай файлик cldapp.exe. После этого удалось сделать все логи. Посмотрите пожалуйста. Ничего нет?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты
Steel Rain

Steel Rain 2

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. Не буду плодить темы, ещё один болезный. Симптомы такие: после подключения к интернету через некоторое время перестает обрабатывать запросы. Т.е. соединение показывает что есть, а страницы не открывает и ничего не пингует. При проверке avz обнаружил Trojan.Win32.Swisyn.akxb где то в system32. Вроде бы успешно удалил, но проблема осталась. Посмотрите пожалуйста, в чем дело. Вот логи:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('C:\WINDOWS\system32\ntos.exe');
TerminateProcessByName('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe');
TerminateProcessByName('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
O24 - Desktop Component 0: (no name) - (no file)

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Воспользуйтесь рекомендациями из данной статьи (проверьте систему zbotkiller'ом )

http://support.kaspersky.ru/faq/?qid=208636281

 

Сделайте новые логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...