-
Junior Member
- Вес репутации
- 62
Блокировка антивирусов, Rootkit.Win32.Pakes.bs
1. Сначала перестал работать DrWeb, попытки переустановить были безуспешны -"Не удается удалить drwebase. Ошибка в данных (CRC)".
2. Свежескачанный CureIt в безопасном режиме не работает - "Срок действия лицензионного ключа истек".
3. Запущенный из-под второй системы (пока нормально работающей) AVPTool нашел и удалил :
удалено: троянская программа Rootkit.Win32.Pakes.bs Файл: D:\WINDOWS\system32\drivers\rnsxgtrcwxnzvir.sys
4. AVZ не запускается - "Access violation at addres..."(см. полностью в message.jpg).
5. Вот HijackThis отработал нормально, лог прилагаю.
Прошу посоветовать, что делать дальше!
Последний раз редактировалось tenzor; 06.02.2009 в 16:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
специальная версия авз, monk.pif из моей подписи запускается?
-
-
Junior Member
- Вес репутации
- 62
СПАСИБО! Совет помог, все три лога в приложении.
Последний раз редактировалось tenzor; 06.02.2009 в 16:12.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\System32\hidserv.dll','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('swapm');
QuarantineFile('C:\WINDOWS\system32\swapm.sys','');
DeleteService('ctdcg');
QuarantineFile('C:\WINDOWS\system32\drivers\rnsxgtrcwxnzvir.sys','');
QuarantineFile('C:\WINDOWS\system32\swapdm.dll','');
DeleteFile('C:\WINDOWS\system32\swapdm.dll');
DeleteFile('C:\WINDOWS\system32\drivers\rnsxgtrcwxnzvir.sys');
DeleteFile('C:\WINDOWS\system32\swapm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('swapdm.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_DeleteSvc('swapm');
BC_DeleteSvc('ctdcg');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил,
карантин загрузил (только файлы были очень маленькие, может и нет там ничего),
свежие логи прилагаю.
Посмотрите логи, пожалуйста!
Последний раз редактировалось tenzor; 06.02.2009 в 16:12.
-
Junior Member
- Вес репутации
- 62
Посмотрите логи, пожалуйста!
-
пофиксите ...
Код:
O20 - Winlogon Notify: swapdm - C:\WINDOWS\
больше ничего плохого ....
-
-
Junior Member
- Вес репутации
- 62
Пофиксил.
Проблемы с блокировкой антивирусных программ (см. вложенную в первый пост картинку) остались, все три сообщения выходят в том же виде.
Может что-то вредное осталось или так хитро испорчены некие системные файлы?
Что посоветуете?
-
Попробуйте в спец-авз:
Код:
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
Потом ещё зайти в avz-> Файл->Мастер поиска и устранения проблем.Желательно пройтись хотя-бы по системным проблемам и перегрузиться.
Иммунизация лучше лечения 
http://virusinfo.info/showthread.php?t=30339
C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys- это что у нас будет? Пришлите по второму пункту правил.
Последний раз редактировалось drongo; 09.12.2008 в 18:41.
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил.
Сообщение от
drongo
Попробуйте в спец-авз:
C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys- это что у нас будет? Пришлите по второму пункту правил.
Файл usbser_lowerflt.sys отправил.
Добавлено через 59 минут
Проверка этого файла на сайте viruslist.com показала наличие вируса:
Проверенный файл: avz00001.dta - Инфицирован
avz00001.dta - инфицирован Trojan-Spy.Win32.Goldun.bhy
Что посоветуете делать дальше?
Последний раз редактировалось tenzor; 10.12.2008 в 14:17.
Причина: Добавлено
-
Ок, раз пошла такая пьянка, тогда такой выполнить ,
Код:
begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netfxperf.dll','');
QuarantineFile('C:\WINDOWS\system32\xRaidSetup.exe','');
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\System32\hidserv.dll','');
DeleteService('upperdev');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('upperdev');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
прислать последний карантин который получиться. затем попробуйте пройтись свежим avptool и cureit в безопасном режиме, сообщите о результатах.
-
-
Junior Member
- Вес репутации
- 62
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 37
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\usbser_lowerflt.sy s - Trojan-Spy.Win32.Goldun.bhy (DrWEB: Trojan.NtRootKit.2456)
- c:\\windows\\system32\\swapdm.dll - Trojan-Spy.Win32.Goldun.bih (DrWEB: Trojan.PWS.GoldSpy.2571)
- c:\\windows\\system32\\swapm.sys - Trojan-Spy.Win32.Goldun.bhy (DrWEB: Trojan.NtRootKit.2456)
-
