Помогите, пожалуйста, избавиться от следов руткита. Не открываются флэшки и дисковод - доступ запрещен.
Помогите, пожалуйста, избавиться от следов руткита. Не открываются флэшки и дисковод - доступ запрещен.
Забыл указать что от Rootkit.Agent.ODG.
Удалял с помощью Unhackme.
Буду благодарен за оперативность.
В логах плохого ничего нет.
Попробуйте в AVZ Файл -- восст.системы п.6,8 отметить и выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил, но не помогло
Добавлено через 46 секунд
После первого сканирования системы, еще когда я создавал лог доступ открылся...но тут же закрылся.
Последний раз редактировалось onDemand; 03.07.2009 в 13:02. Причина: Добавлено
Сделайте в безопасном режиме лог Gmer. Как -- смотрите в "Чаво".
Отмечать только системный диск для проверки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В safemode работает флэшка
выполнить:
Повторить лог Гмер.Код:begin BC_DeleteSvc('hjgruippyvbnyh'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Так понимаю не удалилась служба... порекомендуете вручную удалить файлы указанные в логе и имеющие отношение к службе hjgruippyvbnyh?
Удалять не стал, может нужны. В архиве в папке е это из System32\drivers\ остальное из System32\
Надо все это поместить в карантин AVZ и загрузить через красную ссылку вверху темы.
Удалять будем после этого. Ват-файл для удаления я или кто-нибудь другой напишем.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Архив создан, пароль установлен, файл загружен. Жду дальнейших указаний.
Заранее благодарен. Алексей.
Сохранить как start.bat в директорию, где лежит Гмер.
Выполнить.Код:gmer.exe -del service hjgruippyvbnyh gmer.exe -del file "C:\WINDOWS\drivers\hjgruirk.sys" gmer.exe -del file "C:\WINDOWS\system32\hjgruicmd.dll" gmer.exe -del file "C:\WINDOWS\system32\hjgruilog.dat" gmer.exe -del file "C:\WINDOWS\system32\hjgruilog.dat" gmer.exe -del file "C:\WINDOWS\system32\hjgruiwsp.dll" gmer.exe -del file "C:\WINDOWS\system32\hjgrui.dat" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruippyvbnyh" gmer.exe -reboot
Повторить лог Гмер.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не помогло, флэшка не работает.
Теперь нужен будет лог Гмера в обычном режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Это он
Не вижу ничего зловредного в логе. Остались какие-либо проблемы?
Да, при открытии флэшки - нет доступа
Не видно по логам ничего больше? Проблема актуальна.
Мужики, пожалуйста, помогите сделать так, чтобы я видел флэху, вы же волшебники.
UPD: Если эта информация поможет то скажу, что при входе в систему после включения\перезагрузки, пока еще не загрузились все процессы, открыв проводник можно успеть попасть на флэшку, но потом, естественно что-то загружается и блокирует доступ.
Последний раз редактировалось onDemand; 06.07.2009 в 09:16.
Выполнить:
Сделать логи AVZКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Partizan'); DeleteFile('C:\WINDOWS\system32\drivers\Partizan.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
попробовать поработать с флешкой. На всякий случай, пропустить chkdsk на флешку в безопасном режиме.
З.Ы. "Мы не волшебники, мы только учимся" (с перефразированный).
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) onDemand, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.