Показано с 1 по 11 из 11.

vista загружается только в safe mode после нашествия Rootkit.Win32.Small.bk (заявка № 33730)

  1. #1
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    33

    Exclamation vista загружается только в safe mode после нашествия Rootkit.Win32.Small.bk

    ОСь не запускается, кроме как в безопасном режиме. (В обычном, тормозит, диспетчер задач не отвечает, загрузка проца 100%) Произошло это после того как KIS нашел Rootkit.Win32.Small.bk в C:\Windows\System32\drivers\synsenddrv.sys

    Кроме того AVZ нашел 47 одинаковых файлов hpqcxs08.exe в ~username\temp с подозрением на трояна (их я удалил от греха подальше)
    Вложения Вложения

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Курейтом делали проверку?

  4. #3
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    33
    Цитата Сообщение от Гриша Посмотреть сообщение
    Курейтом делали проверку?
    да, ничего не нашел

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('zbdjrlpokeiwkbe');
     DeleteService('xutspcafzayis');
     DeleteService('vwlhbvtoobqf');
     DeleteService('usoggxns');
     DeleteService('uhexwlzcsgcfwl');
     DeleteService('ufxjscb');
     DeleteService('tvjjxmpcvwv');
     DeleteService('svigr');
     DeleteService('ryhrzxhkfreafe');
     DeleteService('rxgwmpltur');
     DeleteService('qosfteeb');
     DeleteService('qeuyfxdvg');
     DeleteService('pyndrmxjiehq');
     DeleteService('ordumvytiluq');
     QuarantineFile('C:\Windows\system32\drivers\vakahygarme.sys','');
     QuarantineFile('C:\Windows\system32\drivers\mfpeoc.sys','');
     QuarantineFile('C:\Windows\system32\drivers\pxtfvmr.sys','');
     QuarantineFile('C:\Windows\system32\drivers\uycwh.sys','');
     QuarantineFile('C:\Windows\system32\drivers\nnqvpy.sys','');
     QuarantineFile('C:\Windows\system32\drivers\kwiesbazaxbeenl.sys','');
     QuarantineFile('C:\Windows\system32\drivers\zrizdysdzq.sys','');
     QuarantineFile('C:\Windows\system32\drivers\gyrlrzbdsn.sys','');
     QuarantineFile('C:\Windows\system32\drivers\egcnbcr.sys','');
     QuarantineFile('C:\Windows\system32\drivers\kwitxmm.sys','');
     QuarantineFile('C:\Windows\system32\drivers\sjofoeqrktwi.sys','');
     QuarantineFile('C:\Windows\system32\drivers\oikambyhtk.sys','');
     QuarantineFile('C:\Windows\system32\drivers\kmlrgmtvspbjvz.sys','');
     QuarantineFile('C:\Windows\system32\drivers\kvmtdrftxvyytu.sys','');
     DeleteService('kgxzrmmppu');
     DeleteService('knriemd');
     DeleteService('lhfmos');
     DeleteService('lschwwghz');
     DeleteService('mqjcmpgdhphgx');
     DeleteService('mxxnfdg');
     DeleteService('ndkjl');
     QuarantineFile('C:\Windows\system32\drivers\wpgimbnosohjk.sys','');
     QuarantineFile('C:\Windows\system32\drivers\qfeunlmkhjcpv.sys','');
     QuarantineFile('C:\Windows\system32\drivers\nbsvtbky.sys','');
     QuarantineFile('C:\Windows\system32\drivers\sgxgsq.sys','');
     QuarantineFile('C:\Windows\system32\drivers\oyzchbew.sys','');
     QuarantineFile('C:\Windows\system32\drivers\qywfdby.sys','');
     QuarantineFile('C:\Windows\system32\drivers\vfzjwstcqciupq.sys','');
     DeleteService('irforhcvjtiopkm');
     QuarantineFile('C:\Windows\system32\drivers\ovamlcy.sys','');
     QuarantineFile('C:\Windows\system32\drivers\ndixkfxsxn.sys','');
     QuarantineFile('C:\Windows\system32\drivers\bniatl.sys','');
     QuarantineFile('C:\Windows\system32\drivers\miuefmioj.sys','');
     QuarantineFile('C:\Windows\system32\drivers\vjtqrbimo.sys','');
     QuarantineFile('C:\Windows\system32\drivers\wiifnblitiykg.sys','');
     QuarantineFile('C:\Windows\system32\drivers\szhbjywpodpp.sys','');
     DeleteService('dzkvklexymdskm');
     DeleteService('edgvnnf');
     DeleteService('egflsfogoy');
     DeleteService('ewonqcpxjwqz');
     DeleteService('fnmhhdzghz');
     DeleteService('hnptrov');
     QuarantineFile('C:\Windows\system32\drivers\pdkxknbjpdy.sys','');
     QuarantineFile('C:\Windows\system32\drivers\crsphpecjscprzs.sys','');
     DeleteService('czudabrhzempzmb');
     QuarantineFile('C:\Windows\system32\drivers\noqjkcrr.sys','');
     DeleteService('bmkiumo');
     QuarantineFile('C:\Windows\system32\drivers\klmzrr.sys','');
     DeleteFile('C:\Windows\system32\drivers\klmzrr.sys');
     DeleteFile('C:\Windows\system32\drivers\noqjkcrr.sys');
     DeleteFile('C:\Windows\system32\drivers\crsphpecjscprzs.sys');
     DeleteFile('C:\Windows\system32\drivers\pdkxknbjpdy.sys');
     DeleteFile('C:\Windows\system32\drivers\bniatl.sys');
     DeleteFile('C:\Windows\system32\drivers\miuefmioj.sys');
     DeleteFile('C:\Windows\system32\drivers\vjtqrbimo.sys');
     DeleteFile('C:\Windows\system32\drivers\wiifnblitiykg.sys');
     DeleteFile('C:\Windows\system32\drivers\szhbjywpodpp.sys');
     DeleteFile('C:\Windows\system32\drivers\vfzjwstcqciupq.sys');
     DeleteFile('C:\Windows\system32\drivers\qywfdby.sys');
     DeleteFile('C:\Windows\system32\drivers\oyzchbew.sys');
     DeleteFile('C:\Windows\system32\drivers\nbsvtbky.sys');
     DeleteFile('C:\Windows\system32\drivers\qfeunlmkhjcpv.sys');
     DeleteFile('C:\Windows\system32\drivers\wpgimbnosohjk.sys');
     DeleteFile('C:\Windows\system32\drivers\kvmtdrftxvyytu.sys');
     DeleteFile('C:\Windows\system32\drivers\kmlrgmtvspbjvz.sys');
     DeleteFile('C:\Windows\system32\drivers\oikambyhtk.sys');
     DeleteFile('C:\Windows\system32\drivers\dvkpfwpfs.sys');
     DeleteFile('C:\Windows\system32\drivers\lktef.sys');
     DeleteFile('C:\Windows\system32\drivers\sjofoeqrktwi.sys');
     DeleteFile('C:\Windows\system32\drivers\kwitxmm.sys');
     DeleteFile('C:\Windows\system32\drivers\egcnbcr.sys');
     DeleteFile('C:\Windows\system32\drivers\gyrlrzbdsn.sys');
     DeleteFile('C:\Windows\system32\drivers\zrizdysdzq.sys');
     DeleteFile('C:\Windows\system32\drivers\kwiesbazaxbeenl.sys');
     DeleteFile('C:\Windows\system32\drivers\nnqvpy.sys');
     DeleteFile('C:\Windows\system32\drivers\uycwh.sys');
     DeleteFile('C:\Windows\system32\drivers\pxtfvmr.sys');
     DeleteFile('C:\Windows\system32\drivers\mfpeoc.sys');
     DeleteFile('C:\Windows\system32\drivers\vakahygarme.sys');
    BC_ImportALL;    
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    33
    карантин прислал через встроенную форму "прислать запрошенный файл"... пришло?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Пришло...

  8. #7
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    33
    невозможно с помощью скрипта удалить файлы вида C:\Windows\system32\drivers\ndixkfxsxn.sys

    после перезаррузки появляются снова
    (работаю только в safe mode)

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Загрузку последней удачной конфигурации пробовали? Все что я удаляю это руткиты, ни Доктор ни Касперский пока не знают, есть шанс еще такого рода, берете весь ваш карантин, пакуете с паролем "virus" отсылаете его в ВирЛаб Доктора по адресу vms@drweb.com , они смастерят детект, если нужно лечение, затем через 4-5 часов вы качаете CureIT и делете полную проверку в Safe Mode...

  10. #9
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    33
    я так и знал! второй раз на "первенца" попадаю Спасибо за помощь

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Касперский теперь знает как Rootkit.Win32.Agent.etv

  12. #11
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    33
    да, нашел зловредов проверям дальше...

  • Уважаемый(ая) SGray, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Vista SP1 загружается только в Safe Mode
      От IJCuper в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 19.02.2011, 15:17
    2. Ответов: 3
      Последнее сообщение: 04.01.2010, 16:37
    3. Не загружается в Safe Mode.
      От real_sm в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.09.2009, 03:34
    4. Загружается только safe mode
      От derid в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.08.2009, 12:47
    5. Комп загружается только в Safe Mode
      От MrIg в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.06.2008, 14:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00100 seconds with 20 queries