Показано с 1 по 4 из 4.

Похоже что руткит сидит в Xgjr41.sys, но удалить не могу. (заявка № 17009)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    2
    Вес репутации
    33

    Thumbs up Похоже что руткит сидит в Xgjr41.sys, но удалить не могу.

    Похоже я нашёл где сидит зараза
    ТОлько удалить не могу :-(
    Писал скрипт для AVZ, но бесполезно
    После перезагрузки аваст ругается на вирусы опять :-(
    Кто может помочь?
    Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    отключите восстановление системы ....
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Qvb05\0000', 'CSConfigFlags', '1');
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Xgjr41\0000', 'CSConfigFlags', '1');
     QuarantineFile('C:\WINDOWS\Temp\1836120.exe','');
     QuarantineFile('C:\WINDOWS\Temp\1835208.exe','');
     QuarantineFile('C:\WINDOWS\Temp\1834778.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd38.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu27.sys','');
     QuarantineFile('Xgjr41.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Qvb05.sys','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Qvb05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jpu27.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd38.sys');
     DeleteFile('C:\WINDOWS\Temp\1834778.exe');
     DeleteFile('C:\WINDOWS\Temp\1835208.exe');
     DeleteFile('C:\WINDOWS\Temp\1836120.exe');
     BC_DeleteSvc('Sxd38');
     BC_DeleteSvc('smtpdrv'); 
     BC_DeleteSvc('kcp');
     BC_DeleteSvc('Qvb05');
     BC_DeleteSvc('Xgjr41');
     BC_DeleteSvc('Jpu27');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    2
    Вес репутации
    33

    Спасибо!

    Спасибо большое
    Вроде нормализовалось. С инета больше не качается. Аваст не кричит.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах чисто ...
    стоит закрыть лишнее из этого списка ...
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    >> Безопасность: разрешен автоматический вход в систему

  • Уважаемый(ая) vlad_simple, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 06.04.2011, 09:39
    2. помогите, не могу удалить руткит
      От petr0v1ch в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 26.10.2010, 11:32
    3. Не могу удалить руткит
      От @leja в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2010, 01:15
    4. Ответов: 20
      Последнее сообщение: 28.07.2009, 15:21
    5. Не могу удалить Руткит..
      От Viktor341 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.05.2008, 00:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01361 seconds with 20 queries