Показано с 1 по 3 из 3.

Подозрение на RootKit (заявка № 9706)

  1. #1
    Junior Member Репутация
    Регистрация
    14.05.2007
    Сообщений
    1
    Вес репутации
    35

    Exclamation Подозрение на RootKit

    Здравствуйте!
    Подскажите, что лучше сделать, что бы 100% убедится в отсутствии RootKit

    При сканировании AVZ, выявилось

    >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     BC_QrSvc('pe386');
     BC_DeleteSvc('pe386');
     BC_DeleteFile('C:\WINDOWS\system32:lzx32.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\LClock.cpl','');
     QuarantineFile('C:\WINDOWS\system32\abcdefgh.dll','');
     QuarantineFile('C:\Documents and Settings\user\Шаблоны\WowTumpeh.com','');
     QuarantineFile('C:\WINDOWS\system32\PRTmate.dll','');
     QuarantineFile('vistaui.exe','');
     QuarantineFile('C:\WINDOWS\system32\stobject.dll','');
     QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
     QuarantineFile('C:\WINDOWS\system32\mopkwbf.dll','');
     QuarantineFile('C:\WINDOWS\system32\kernels32.exe','');
     QuarantineFile('C:\WINDOWS\Temp\6890\explorer.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('c:\windows\csrss.exe','');
     DeleteFile('c:\windows\csrss.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
     DeleteFile('C:\WINDOWS\Temp\6890\explorer.exe');
     DeleteFile('C:\WINDOWS\system32\kernels32.exe');
     DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
     DeleteFile('C:\Documents and Settings\user\Шаблоны\WowTumpeh.com');
     DeleteFile('C:\WINDOWS\system32\abcdefgh.dll');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteRepair(14);
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
    O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
    O4 - HKLM\..\Run: [Svcs: Dnscache] C:\WINDOWS\Temp\6890\explorer.exe
    O10 - Broken Internet access because of LSP provider 'abcdefgh.dll' missing
    O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll (file missing)
    O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\mopkwbf.dll (file missing)
    Пришлите файлы карантина по правилам раздела "Помогите".
    Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.

    После выполнения скрипта у Вас может пропасть интернет. Чтобы его восстановить, скачайте заранее утилиту http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
    Последний раз редактировалось Макcим; 14.05.2007 в 14:36.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Хорошая подборка , антивирус и фаэвол в отпуске что-ли ?

  • Уважаемый(ая) Aleksandr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на Rootkit
      От Arkidon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.07.2010, 00:57
    2. ПОДОЗРЕНИЕ НА ROOTKIT
      От cheburat в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 30.06.2010, 16:30
    3. Подозрение на rootkit.
      От Igor_ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.04.2009, 16:45
    4. Подозрение на RootKit
      От sshumov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2009, 16:14
    5. Подозрение на rootkit
      От RA85 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.02.2009, 19:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01287 seconds with 21 queries