-
Junior Member
- Вес репутации
- 50
Подозрение на RKIT
Здравствуйте!
После проверки системы утилитой KAVP Removal Tool я обнаружила Rootkit.win32.bubnix.bao, который удалить не удалось. Файлы были удалены вручную через загрузку с диска. Подозреваю, что до конца удалить его не удалось. Помогите, пожалуйста.
Заранее спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('1f2d31bfb4752142');
DeleteService('45d089775ae37069');
DeleteService('4bffca15278a1d53');
DeleteService('60ceea50c9698e8d');
DeleteService('a6aadba5dba9a02e');
QuarantineFile('C:\WINDOWS\TEMP\7800cff08be0','');
QuarantineFile('C:\WINDOWS\TEMP\8320f71d2e1d','');
QuarantineFile('C:\WINDOWS\TEMP\8080e07c4a17','');
QuarantineFile('C:\WINDOWS\TEMP\81208358c0e9','');
QuarantineFile('C:\WINDOWS\TEMP\81603df2941d','');
DeleteService('b551c7d529114e8a');
DeleteService('bb1c067094f864cb');
QuarantineFile('C:\WINDOWS\TEMP\7760439a3fb3','');
QuarantineFile('C:\WINDOWS\TEMP\78009b207f81','');
DeleteService('e7f581e6cc63913f');
QuarantineFile('C:\WINDOWS\TEMP\7800c94e27a3','');
DeleteService('f01f69ad2d09772c');
QuarantineFile('C:\WINDOWS\TEMP\78802fd9ddfb','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
DeleteFile('C:\WINDOWS\TEMP\78802fd9ddfb');
BC_DeleteSvc('f01f69ad2d09772c');
DeleteFile('C:\WINDOWS\TEMP\7800c94e27a3');
BC_DeleteSvc('e7f581e6cc63913f');
DeleteFile('C:\WINDOWS\TEMP\78009b207f81');
DeleteFile('C:\WINDOWS\TEMP\7760439a3fb3');
BC_DeleteSvc('bb1c067094f864cb');
BC_DeleteSvc('b551c7d529114e8a');
DeleteFile('C:\WINDOWS\TEMP\81603df2941d');
DeleteFile('C:\WINDOWS\TEMP\81208358c0e9');
DeleteFile('C:\WINDOWS\TEMP\8080e07c4a17');
DeleteFile('C:\WINDOWS\TEMP\8320f71d2e1d');
DeleteFile('C:\WINDOWS\TEMP\7800cff08be0');
BC_DeleteSvc('a6aadba5dba9a02e');
BC_DeleteSvc('60ceea50c9698e8d');
BC_DeleteSvc('4bffca15278a1d53');
BC_DeleteSvc('45d089775ae37069');
BC_DeleteSvc('1f2d31bfb4752142');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
- После лечения настоятельно рекомендуется сменить все пароли.
-
-
Junior Member
- Вес репутации
- 50
Новые логи, карантин также выслан
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения вредоносные программы в карантинах не обнаружены
-