Перейти к содержанию
Правила раздела

rootkit.win64.agent.atm

mcluch

Автор mcluch
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mcluch

mcluch

Опубликовано
Опубликовано

Добрый день! 

Антивирус касперского нашел rootkit.win64.agent.atm в директории C:\Windows\System32\drivers\

Сам файл dump_P3.sys . Фактически его не видно директории даже как скрытый. 

Ни касперский ни tdsskiller не удаляют этот файл и не лечат. При этом находят.

AVZ и Cureit  вообще ничего не находят

 

Лог прилагаю к сообщению

 

Чем удалить этот руткит?

CollectionLog-2018.02.20-09.46.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

  • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  • Запустите файл TDSSKiller.exe.
  • Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  • В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  • По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  • Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  • Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  • Самостоятельно без указания консультанта ничего не удаляйте!!!
  • После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  • Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

Sandor

Sandor

Опубликовано
Опубликовано

Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.

Заархивруйте эту папку с паролем virus. И отправьте полученный архив по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Sandor

Sandor

Опубликовано
Опубликовано

KLAN Вы указали, а ответ не сообщили.

 

Что с проблемой?

mcluch

mcluch

Опубликовано
  • Автор
Опубликовано

KLAN Вы указали, а ответ не сообщили.

 

Что с проблемой?

"Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы и ссылки были проверены в автоматическом режиме

 

В антивирусных базах информация по присланным вами файлам отсутствует

 

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте"

 

 

Не ответили ничего более

mcluch

mcluch

Опубликовано
  • Автор
Опубликовано

Понятно.

Что с проблемой?

 

проблема так и остается. Угроза находится но не удаляется

 TDSSkiller находит файл угрозы, предлагает лечить, удалить. Но фактически ничего не происходит. после перезагрузки снова обнаруживается угроза

regist

regist

Опубликовано
Опубликовано (изменено)

(рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем Sandor
Поправил bb-code

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...