Как вынести этот гребаный руткит????
Один файл перехватывает работу с фаловыми системами и клавиатурой, второй - сеть. Rootkit Unhooker'ом снимаю хуки, но после снятия code hooks на ntkrnlpa.exe комп вешается, после включения руткит снова в работе.
Как вынести этот гребаный руткит????
Один файл перехватывает работу с фаловыми системами и клавиатурой, второй - сеть. Rootkit Unhooker'ом снимаю хуки, но после снятия code hooks на ntkrnlpa.exe комп вешается, после включения руткит снова в работе.
Device Lock чем вам не угодил ? ну не нравится ... через установку удаление программ деинсталируйте ....
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\8.tmp','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Да, согласен, это всеж девайслока хуки. Перебдел чуток.
тему прошу считать закрытой
карантин пришлите .... там есть очень подозрительный файлик ...
C:\WINDOWS\system32\8.tmp в карантин добавить?
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
после прогона скрипта (только убрал перезагрузку) был снят хук с функции ntconnectport и symantec antivirus тут же нашел Trojan Horse filename vd3ndu1.sys
[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]
и это оказался файл сервиса AVZGuard...
1) Без перезагрузки не сработает BC.
2) Антивирус нужно отключать перед выполнением скрипта. Он может мешать AVZ. Симантек тут не единственный, и Авира и еще кто - проявляют мастерство и ловят драйвер AVZ не по делу.
[QUOTE=Dudka;253140]C:\WINDOWS\system32\8.tmp в карантин добавить?
[/QUOTE]
если его там нет то да ...
Удалил симантек, Выполнил скрипт.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\8.tmp','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Файла 8.tmp не было на диске.
выложил сюда [url]http://virusinfo.info/upload_virus.php[/url]
файла в карантине нет ... попробуйте скопировать его Unhooker'ом и прислать ...
прогнал "Скрипт печения/карантина и сбора информации для раздела "Помогите" virusinfo.info"
сейчас ругнулся только на vnchook.dll но это нормально... UltraVNC стоит по делу...
похоже все чисто?
мне этот C:\WINDOWS\system32\8.tmp даже Gmer не показывает не говоря уж о Rootkit Unhooker'e
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('MEMSWEEP2');
QuarantineFile('C:\WINDOWS\system32\8.tmp','');
DeleteFile('C:\WINDOWS\system32\8.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
если что -то попадет в карантин пришлите согласно приложения 3 правил ...
Rootkit Revealer 1.7 ничего не показал
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
после
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('MEMSWEEP2');
QuarantineFile('C:\WINDOWS\system32\8.tmp','');
DeleteFile('C:\WINDOWS\system32\8.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
карантин пустой все равно
но C:\WINDOWS\system32\8.tmp ушел
и memsweep2 пропал
больше ничего подозрительного ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]