Помогите избавится от кернел руткита!

[Pavelhard]

Помогите избавится от кернел руткита!

НЕОБХОДИМОЕ ПРИЛАГАЮ ВО ВЛОЖЕНИИ

[Rene-gad]

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт в разделе "Ручное лечение"

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 StopService('glaide32');
 QuarantineFile('C:\WINDOWS\System32\drivers\kl1.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\glaide32.sys','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('F:\hbcd\wintools\autorun.exe','');
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('digiwet.dll');
 DeleteFile('C:\WINDOWS\system32\digiwet.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\glaide32.sys');
 DeleteService('glaide32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('glaide32');
SetAVZPMStatus(True);
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

-Выполните скрипт в разделе "Ручное лечение"

Код:

begin
CreateQurantineArchive('C:\quarantine.zip');    
end.

- Закачайте карантин C:\quarantine.zip по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Pavelhard]

но похоже, что и после перезагрузки находим опять то же UZE4ODKY с вариантами замены букв

[thyrex]

что и после перезагрузки находим опять то же UZE4ODKY

Антивирус отключать не пробовали на время создания логов и выполнениz скриптов. Это драйвер AVP Tool

Пока ждем результатов исследования карантина

Выполните скрипт

Код:

begin
ExecuteREpair(9);
RebootWindows(true);
end.

После перезагрузки сделайте новый лог

[Pavelhard]

это после очистки МВАМ

антивирус отключен был, после перезагрузки найдено такое неизвестное устройство и файл, ему соответствующий UZE4ODKY
ROOT\LEGACY_UZE4ODKY\0000
это как оно показано в диспетчере задач

[Pavelhard]

после последней группы команд в смысле скрипта

begin
ExecuteREpair(9);
RebootWindows(true);
end.

[thyrex]

Неизвестное устройство удалите в Диспетчере устройств и проследите, появится ли оно после перезагрузки

Пока ждем результатов исследования карантина

[Pavelhard]

и вот результаты сканирования теперь новой программой

удаленное устройство не появляется

[Pavelhard]

Добрый день, хотелось бы узнать, как идет работа?

У меня по прежнему проблемы, множество программ не запускается, почта The BAT! не работает..

из поиска и общения на других форумах понял, что
kl1.sys - драйвер Kaspersky Workstation
он собственно и был привязан к удаляемому устройству, так что, извините, не вижу логики

[Rene-gad]

- Сделайте лог полного сканирования MBAM.

[Pavelhard]

сделал я лог последней версией - ничего эта утилита не нашла

зачем вам пустой лог?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения вредоносные программы в карантинах не обнаружены