Показано с 1 по 8 из 8.

Помогите удалить троян/руткит (заявка № 85945)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    30

    Thumbs up Помогите удалить троян/руткит

    Проблема была обнаружена только по аномально большому и не прекращающемуся трафику, а поскольку интернет на зараженном компьютере мобильный, то и по существенно большим расходам.
    С помощью TcpView и cports было видно, что какой-то процесс постоянно шлет запросы на разные адреса.
    На компьютере был установлен nod32, который ничего не показал. Был заменен на Avira Antivir Personal, который обнаружил проблему, но решить ее не смог.
    Из отчета Avira Antivir Personal:
    C:\WINDOWS\system32\drivers\aaamgv.sys
    [ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
    [ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
    C:\WINDOWS\system32\drivers\obnuts.sys
    [ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
    [ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
    Начало дезинфекции:
    C:\WINDOWS\system32\drivers\aaamgv.sys
    [ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
    [ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
    [ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
    [УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
    [УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '4cc935e0.qua'.
    C:\WINDOWS\system32\drivers\obnuts.sys
    [ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
    [ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
    [ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
    [УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
    [УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '4cd635e6.qua'.

    Удаление файлов вручную с помощью утилиты IceSword ничего не дало, файлы тут же восстанавливались. Стандартные скрипты AVZ запускались.

    Подскажите, пожалуйста что можно сделать в данной ситуации.
    Отчеты AVZ приложены. Отчет HiJackThis получить не удалось. Вся процедура проводилась удаленно (по телефону), компьютер установлен в больнице, попасть лично туда сложно, человек, который все делал по моей подсказке, не обладает достаточными знаниями. Если будет таки необходим отчет HiJackThis, попытаемся еще сделать.
    Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Скачайте "OSAM" (Online Solutions Autorun Manager). В меню
    драйверов правой кнопкой по aaamgv, а также по obnuts и выберите "Turn Run Off". Подтвердите перезагрузку.
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\obnuts.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\aaamgv.sys','');
     DeleteService('aaamgv');
     DeleteService('obnuts');
     DeleteFile('C:\WINDOWS\system32\Drivers\aaamgv.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\obnuts.sys');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    30
    Все сделано, но в карантине файлов не оказалось, я не сказал сразу их переслать до создания новых логов, видимо они затерлись?
    Вот новые логи:
    Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\dpzhntue.dll','');
     DeleteFile('C:\WINDOWS\system32\dpzhntue.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters','ServiceDll');
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters');
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    30
    Скрипт выполнен, карантин загружен. Карантин загружался 2 раза - правильно второй, с названием virus.zip.

    Новые логи:
    Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    В логах чисто

  8. #7
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    30
    Проверил, излишней сетевой активности больше нет. Проблема решена, огромное спасибо.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,543
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MidasInc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите удалить руткит
      От InquisitorAles в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.08.2011, 18:36
    2. ring0 руткит помогите удалить
      От tankisttt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.04.2011, 09:43
    3. помогите, не могу удалить руткит
      От petr0v1ch в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 26.10.2010, 11:32
    4. червь, руткит Помогите удалить!
      От ИннаS в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.08.2010, 12:50
    5. Помогите удалить руткит
      От nnn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.08.2009, 13:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00585 seconds with 21 queries