Подцепил РутКит

Printable View

22.11.2011, 17:42
DeadDream

Подцепил РутКит

Комп ужасно тормозит, постоянно падает сеть, в безопасном режиме не грузится, заблокирован диспетчер задач и реестр. Лечение CureITом ничего не дало. Утилита от Касперского даже не запустилась. С N-ной попытки смог просканить систему AVZ и таки сохранить лог. Для верности сделал ещё лог GMER, который нашел руткит сидящий в svchost-е.
22.11.2011, 17:42
Info_bot

Уважаемый(ая) [B]DeadDream[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
22.11.2011, 20:05
ARMA9000

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmr.exe (gmer)
[CODE]gmr.exe -del service auzpzxu
gmr.exe -del service rngnvvfas
gmr.exe -del file "D:\WINDOWS\system32\rldqnzl.dll"
gmr.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\auzpzxu"
gmr.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rngnvvfas"
gmr.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\auzpzxu"
gmr.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rngnvvfas"
gmr.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\auzpzxu"
gmr.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rngnvvfas"
gmr.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделайте новые логи.
23.11.2011, 11:26
DeadDream

Сделал. Новые логи в аттаче
23.11.2011, 11:35
ARMA9000

Что с проблемой?
23.11.2011, 12:31
DeadDream

Спасибо, процесс пошел. Система начала грузиться в безопасном режиме, разблокировался реестр. Сейчас для верности запустил утилиту от Касперского, заработала . Пока проверяю ей, если опять наткнусь на нечто, апну тему. Ещё раз спасибо!
23.11.2011, 17:29
миднайт

[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.