-
Junior Member
- Вес репутации
- 58
Стал тормозить инет, аваст постоянно выдаёт сообщение они наличии руткита в системе
Добрый день, помогите пожалуйста, несколько дней назад скорость соединение с инетом значительно упала, фаерфокс вообще отказывался запускать постоянно падал с ошибкой, сайты начали открываться по 10 минут, проводил лечение авастом во время загрузки, вроде наладилось, сегодня опять двадцать пять, аваст кричит о рутките в системе а походу удалить не может, логи прикладываю
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\64721.exe','');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\64721.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\user\Application Data\juzjf.exe','');
QuarantineFile('C:\Documents and Settings\user\ctfmon.exe,explorer.exe,C:\Documents and Settings\user\Application Data\juzjf.exe','');
QuarantineFile('C:\Documents and Settings\user\ctfmon.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\38887.exe','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\38887.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
DeleteFile('C:\Documents and Settings\user\ctfmon.exe');
DeleteFile('C:\Documents and Settings\user\ctfmon.exe,explorer.exe,C:\Documents and Settings\user\Application Data\juzjf.exe');
DeleteFile('C:\Documents and Settings\user\Application Data\juzjf.exe');
DeleteFileMask('C:\DOCUME~1\user\LOCALS~1\Temp\', '*.exe', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteRepair(16);
ExecuteRepair(8);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
карантин выслал, новые логи прикладываю
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
Интересно, с каждым шагом что-то новое.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
В AVZ выполните скрипт:
Код:
begin
ExecuteRepair(6);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\vde5odu0.sys','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\Documents and Settings\user\Application Data\juzjf.exe');
DeleteFileMask('C:\Documents and Settings\user\Local Settings\Temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
карантин выслал, сейчас делаю логи
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearQuarantine;
QuarantineFile('kqmzmofx.sys','');
QuarantineFile('klwerzef.sys','');
QuarantineFile('hkdtgimz.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kqmzmofx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\klwerzef.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\hkdtgimz.sys','');
DeleteFile('hkdtgimz.sys');
BC_DeleteSvc('hkdtgimz');
DeleteFile('klwerzef.sys');
BC_DeleteSvc('klwerzef');
DeleteFile('kqmzmofx.sys');
BC_DeleteSvc('kqmzmofx');
QuarantineFileF('%system32%', '*.exe, *.sys', false,'', 0, 0, '1.09.2010', '24.09.2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
+Сделайте лог MBAM
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
Junior Member
- Вес репутации
- 58
уважаемые хелперы вы про меня не забыли, долечите мой комп пожалуйста
-
Удалите в MBAM:
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.dll (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Зараженные папки:
C:\Documents and Settings\user\Application Data\Facegame (Trojan.Agent) -> No action taken.
C:\Program Files\Mjcore (Trojan.BHO) -> No action taken.
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> No action taken.
C:\Documents and Settings\user\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Повторите лог MBAM.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 58
лог авз, сейчас качаю обновления и устанавливаю
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
Junior Member
- Вес репутации
- 58
лог авз, сейчас качаю обновления и устанавливаю, mbam обнаружил только отключенные уведомления брандмауэра
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
Лог чистый. Установите обновления.
-
-
Junior Member
- Вес репутации
- 58
после установки обновлений, подключился к интернету с целью обновления аваста, и тут АВАСТ выдал окошко с собщением, что определен вирс Win 32: Brdolab-DS [Trj] по адресу C:\WINDOWS\system 32\wbem\grpconv.exe.
инет все еще тормозит, может какая то зараза еще есть, логи прикладываю
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
Junior Member
- Вес репутации
- 58
аваст выдал также сообщение о блокировке сайт, может это поможет в решение проблемы
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось smeley; 05.10.2010 в 08:21.
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\drivers\bocjrtun.sys ');
DeleteFile('c:\windows\system32\drivers\necbunqn.sys ');
DeleteFile('c:\windows\system32\drivers\nxrqiklu.sys ');
DeleteFile('c:\windows\system32\drivers\ofxnksbh.sys ');
DeleteFile('c:\windows\system32\drivers\znmororj.sys ');
DeleteFile('c:\windows\system32\drivers\cvljcorr.sys ');
DeleteFile('c:\windows\system32\drivers\klnrnerv.sys ');
DeleteFile('c:\windows\system32\drivers\bzjobopm.sys ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
повторите лог CF
-