-
Junior Member
- Вес репутации
- 57
Помогите удалить троян/руткит
Проблема была обнаружена только по аномально большому и не прекращающемуся трафику, а поскольку интернет на зараженном компьютере мобильный, то и по существенно большим расходам.
С помощью TcpView и cports было видно, что какой-то процесс постоянно шлет запросы на разные адреса.
На компьютере был установлен nod32, который ничего не показал. Был заменен на Avira Antivir Personal, который обнаружил проблему, но решить ее не смог.
Из отчета Avira Antivir Personal:
C:\WINDOWS\system32\drivers\aaamgv.sys
[ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
[ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
C:\WINDOWS\system32\drivers\obnuts.sys
[ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
[ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
Начало дезинфекции:
C:\WINDOWS\system32\drivers\aaamgv.sys
[ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
[ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
[ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
[УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
[УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '4cc935e0.qua'.
C:\WINDOWS\system32\drivers\obnuts.sys
[ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
[ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
[ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
[УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
[УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '4cd635e6.qua'.
Удаление файлов вручную с помощью утилиты IceSword ничего не дало, файлы тут же восстанавливались. Стандартные скрипты AVZ запускались.
Подскажите, пожалуйста что можно сделать в данной ситуации.
Отчеты AVZ приложены. Отчет HiJackThis получить не удалось. Вся процедура проводилась удаленно (по телефону), компьютер установлен в больнице, попасть лично туда сложно, человек, который все делал по моей подсказке, не обладает достаточными знаниями. Если будет таки необходим отчет HiJackThis, попытаемся еще сделать.
Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню
драйверов правой кнопкой по aaamgv, а также по obnuts и выберите "Turn Run Off". Подтвердите перезагрузку.
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\obnuts.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\aaamgv.sys','');
DeleteService('aaamgv');
DeleteService('obnuts');
DeleteFile('C:\WINDOWS\system32\Drivers\aaamgv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\obnuts.sys');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 57
Все сделано, но в карантине файлов не оказалось, я не сказал сразу их переслать до создания новых логов, видимо они затерлись?
Вот новые логи:
Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dpzhntue.dll','');
DeleteFile('C:\WINDOWS\system32\dpzhntue.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters','ServiceDll');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнен, карантин загружен. Карантин загружался 2 раза - правильно второй, с названием virus.zip.
Новые логи:
Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.
-
-
-
Junior Member
- Вес репутации
- 57
Проверил, излишней сетевой активности больше нет. Проблема решена, огромное спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-