• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на руткит. TCPRoute

Статус
В этой теме нельзя размещать новые ответы.

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Проверьте на www.virustotal.com ссылку на результат запостите
c:\windows\regedit.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
FileLook::
c:\windows\system32\FsUsbExDisk.SYS
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Все готово. Ссылка на virustotal: http://www.virustotal.com/file-scan...0d3d388c55950d77e5b8f3bcbb1ac1f107-1300087130

Логи combofix запаковал и прикрепил.
 

Вложения

  • ComboFix.rar
    3.1 KB · Просмотры: 5

zirreX

Ассоциация VN
Сообщения
733
Реакции
336
Баллы
453
Что с проблемой?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Смените все пароли!
 

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
C:\WINDOWS\apppatch\apkhjsm.dat - Trojan.PWS.Ibank.292

Смените все пароли.
 

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Ага, уже меняю. Спасибо!
Глуповатый вопрос конечно, но уже всё? ) Вирусов на данный момент нет, судя по тем отчетам что я скидывал?

MBAM сделал полное сканирование и ничего не нашел )

c:\windows\regedit.exe - этот на вирустотале сработал в 1м из случаев ведь. Или это просто ложное определение?

OTCleanIt воспользовался, спасибо.
 

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
Вирусов на данный момент нет, судя по тем отчетам что я скидывал?
Да, активного заражения сейчас не видно.


c:\windows\regedit.exe - этот на вирустотале сработал в 1м из случаев ведь. Или это просто ложное определение?
Причина лежит в том, что система сборка (zver?) и часть системных файлов считаются подозрительными.
 

fixrootkit

Активный пользователь
Сообщения
14
Реакции
0
Баллы
391
Угу - зверь.
Спасибо огромнейшее за помощь в решении проблемы! Сам бы в жизни не справился )
 

akok

Команда форума
Администратор
Сообщения
19,515
Реакции
13,431
Баллы
2,203
Получил результат анализа от ЛК
C:\WINDOWS\apppatch\apkhjsm.dat - Trojan-Dropper.Win32.Agent.evgi

Добавлено через 32 секунды
Спасибо огромнейшее за помощь в решении проблемы!
Всегда пожалуйста.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу