-
Junior Member
- Вес репутации
- 54
Руткиты
Нашел через google тему "Не доступен сайт Касперского" на вашем сайте в попытках решить аналогичную проблему, единственно лишь с тем отличием, что в моем случае оказались недоступны все антивирусные сайты, включая virusinfo.info!
После внимательного изучения ваших "правил", выполнил все упомянутые в них подготовительные шаги с соблюдением всех тонкостей.
Сразу же хочу поблагодарить - после AVZ все сайты стали доступны! Но, к сожалению, Gmer после нескольких часов сканирования выдал сообщение о каком-то изменении в системе (забыл записать дословно), после чего окна и рабочий стол стали неуправляемыми и мне не удалось сохранить лог. Пришлось перезагрузить компьютер банальным ресетом. Остались сомнения по поводу руткитов, надеюсь на вашу поддержку и совет.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
У Вас в логах видны следы McAffee и Касперского. Один из них лишний
Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
Перезагрузиться
Отключите все защитное ПО и попробуйте еще раз сделать лог gmer. Если не получится, сделайте в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
К сожалению, я не разобрался как "Пофиксить в HiJack". Нашел совет здесь
http://virusinfo.info/showthread.php?t=4491 , но там речь идет о строках скрипта на 023...
Удалил (если верить сообщениям утилиты) при помощи McAfee Cleanup "следы" этого антивирусника, использовавшегося пару лет назад.
Оставил на ночь сканировать Gmer, но с отключенным Интернет. Снова после нескольких часов сканирования появилось сообщение "GMER has found system modification caused by ROOTKIT activity", но лог файл на сей раз сохранить удалось и компьютер ведет себя вполне прилично. Но одна странность, как минимум, обнаруживается - устанавливаю в свойствах папки "Показывать скрытые файлы и папки", сохраняю (Применить, ОК), открываю вновь и вижу отсутствие результата, т.е. "Не показывать скрытые файлы и папки".
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('tcctcfyj');
DeleteService('tcctcfyj');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tcctcfyj');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Services\tcctcfyj');
BC_QrFile('C:\WINDOWS\system32\qgqtdq.dll');
BC_DeleteFile('C:\WINDOWS\system32\qgqtdq.dll');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил. Сделайте свежий лог Gmer.
-
-
Junior Member
- Вес репутации
- 54
Cкрипт в AVZ выполнил.
Загрузил карантин согласно приложению №3 правил.
Запустил Gmer для создания нового лога. Процесс длительный, по окончанию вышлю новый лог.
-
Junior Member
- Вес репутации
- 54
На всякий случай, краткий лог Gmer до нажатия кнопки Scan(диск С)
-
Данный лог не будет полезен, нужен лог после сканирования.
-
-
Junior Member
- Вес репутации
- 54
Свежий лог Gmer.
Сообщения "GMER has found system modification caused by ROOTKIT activity" уже не было.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится kbm4ilzn.exe (gmer)
Код:
kbm4ilzn.exe -del file "C:\WINDOWS\system32\qgqtdq.dll"
kbm4ilzn.exe -del service tcctcfyj
kbm4ilzn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tcctcfyj"
kbm4ilzn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tcctcfyj"
kbm4ilzn.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится. Лог Gmer повторите
-
-
Junior Member
- Вес репутации
- 54
Выполнил cleanup.bat
Строка kbm4ilzn.exe -del file "C:\WINDOWS\system32\qgqtdq.dll" не выполнилась, поскольку файл уже был удален предыдущими процедурами.
Строка kbm4ilzn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tcctcf yj" не выполнилась, вероятно, по той же самой причине.
Очередной Лог Gmer будет готов через несколько часов...
-
Junior Member
- Вес репутации
- 54
-
Лог в порядке.
Проведите пожалуйста процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519
Удачи!
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-