Junior Member
Вес репутации
55
WiniService
Вечер добрый,
У меня браузер тормозит и я подозреваю, что трафик кто-то жрёт.
Gmer rootkit определил:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) WmiService
В реестре есть разделы, которые создал вирус
HKLM\SYSTEM\CurrentControlSet\Services\WmiService HKLM\SYSTEM\ControlSet002 \Services\WmiService
В общем, что делать?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сердце решает кого любить... Судьба решает с кем быть...
активируйте AVZPM и повторите логи ... а так же лог Gmer
Junior Member
Вес репутации
55
Вложения
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WmiService');
QuarantineFile('C:\WINDOWS\system32\uenxr.dll','');
DeleteFile('C:\WINDOWS\system32\uenxr.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\WmiService','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\WmiService');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WmiService');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=42741
3. Повторите лог Gmer.
Добавлено через 35 секунд
Карантин выслать обязательно!
Последний раз редактировалось Aleksandra; 29.03.2009 в 00:45 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
Карантин закачал:
Файл сохранён как
090329_014302_virus_49cea7f604803.zipРазмер файла93126
MD5
b722af17fbff2031528b0c9fd9acede0
Хотелось бы узнать, что это за вирус, когда вы определите его
Новые логи:
новый лог gmer прикреплю позже
Вложения
Логи AVZ сейчас пока не нужны. Этот вирус виден в логе Gmer.
Добавлено через 1 минуту
uenxr.dll - Trojan-Downloader.Win32.Kido.e
Последний раз редактировалось Aleksandra; 29.03.2009 в 01:58 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
Вложения
1. Скачайте IceSword. Запустите, слева внизу нажмите Registry, затем найдите ветки:
HKLM\SYSTEM\CurrentControlSet\Services\WmiService
и удалите все ключи с WmiService...
Тоже самое на
HKLM\SYSTEM\ControlSet002\Services\WmiService
2. Сделайте контрольный лог Gmer.
Как искать и удалять ключи реестра с помощью IceSword http://virusinfo.info/showthread.php?t=39413
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
55
Ключи удалил
gmer криминала не нашёл.
Спасибо, Alexandra , за помощь.
Закрываю тему.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\uenxr.dll - Trojan-Downloader.Win32.Kido.e ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )