-
Junior Member
- Вес репутации
- 53
RootKit.Gen и Dropper.Gen
День добрый!
Есть ряд проблем с антивирусной защитой и не только, а именно:
1.При запуске тектового редактора или строки поиска в поле для ввода текста самопроизвольно появляется строка "еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыее уыееуыееуыееуыееуыееуыееуы1ееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ые"(или аналогичная на латинице, т.е. testtesttest и т.д.)
2.AVIRAAntivir выдаёт сообщение о наличии вирусов Rootkit.Gen и Dropper.Gen в файлах A0029538.sys и A0029539.sys соответственно, однако сами файлы через поиск найти не удаётся.
3.AVZ выдаёт подозрение на BackDoor в файле Kernelx86.sys в папке C:\Windows\System32\drivers
4.Антивирусная программа не установлена.
5.CureIt при быстрой проверке в Безопасном режиме вирусов не находит.
6.[removed]
7.При первой попытке создать архив virusinfo_syschek.zip был ряд ошибок в AVZ и создался архив virusinfo_files_"Имя пользователя".zip (не прикрепляю, т.к. противоречит Правилам)
Прошу Вашей помощи. Логи прилагаю.
Последний раз редактировалось Rene-gad; 02.12.2009 в 19:21.
Причина: сами ссылки ведут к решению.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\msnmsngr.exe','');
QuarantineFile('C:\WINDOWS\system32\4D3AB5\5AD325.EXE','');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\msnmsngr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
1. Отключил от Lan (Интернет через Lan).
2.Отдельный Firewall не установлен. Брандмауэр Windows отключен.Антивирусное ПО - не найдено.
3.Восстановление отключено.
4.При выполнении скрипта появлялись те же ошибки, что и при первой попытке создания virusinfo_syscheck.zip
5.Неизвестное устройство не появилось.
6.Выполнил Очистку системы AVZ.Корзина пуста.
7.Выполнена перезагрузка.
8.Новые логи и карантин прилагаю.
Благодарю за помощь.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32','');
QuarantineFile('C:\WINDOWS\system32\wmisrpc.exe','');
QuarantineFile('C:\WINDOWS\system32\4D3AB5\5AD325.EXE','');
DeleteFile('C:\WINDOWS\system32\4D3AB5\5AD325.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5AD325');
DeleteFile('C:\WINDOWS\system32');
DeleteFileMask('C:\WINDOWS\system32\4D3AB5', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\4D3AB5');
DeleteFile('C:\Windows\Tasks\system32.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-