Не могу удалить RootKit

Printable View

14.07.2008, 19:15
Big

Вложений: 3

Не могу удалить RootKit

Здравствуйте!
Когда лечу при помощи AVZ, то никак не получается удалить драйвер Wingo86.sys. тоесть и остановить его с помощью диспетчера драйверов, и используя AVZGuard - не получается.
Причем, когда запускаешь сканирование и лечение в AVZ, в протоколе не отображается, что также вирусами являются и другие похожие драйвера: Pyh64.sys, Udk86.sys...
Тоесть AVZ почему то их постепенно выявляет (до этого я удалил похожие драйверы выявленные AVZом как Подозрение на Руткит)
Также никак не стирается из Автозапуска [COLOR=#800080]E:\WINDOWS\system32\ntos.exe[/COLOR]

Кроме этого по отчету видно, что еще есть куча подобных проблем проблем.
Заранее спасибо за ответ!
14.07.2008, 19:35
PavelA

Скачать Icesword. В нем через меню file найти и сделать force delete след. файлам:
E:\WINDOWS\system32\WinCtrl32.dll
E:\WINDOWS\system32\Drivers\Pyh64.sys
E:\WINDOWS\system32\Drivers\Udk86.sys
E:\WINDOWS\system32\Drivers\Wingo86.sys

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
DeleteService('Udk86');
QuarantineFile('E:\WINDOWS\System32\Drivers\Wingo86.sys','');
QuarantineFile('E:\WINDOWS\System32\Drivers\Udk86.sys','');
QuarantineFile('E:\WINDOWS\System32\Drivers\Pyh64.sys','');
DeleteService('Pyh64');
QuarantineFile('E:\WINDOWS\system32\Drivers\Wingo86.sys','');
QuarantineFile('E:\WINDOWS\system32\Drivers\Udk86.sys','');
QuarantineFile('E:\WINDOWS\system32\Drivers\Pyh64.sys','');
QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('E:\WINDOWS\system32\Drivers\Pyh64.sys');
DeleteFile('E:\WINDOWS\system32\Drivers\Udk86.sys');
DeleteFile('E:\WINDOWS\system32\Drivers\Wingo86.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Pyh64.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Udk86.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Wingo86.sys');
DeleteFile('E:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи. Загрузить карантин.

После лечения надо будет менять ВСЕ пароли.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Да, еще надо будет почистить файл Hosts. Там есть записи, которые явно не вы заносили.
15.07.2008, 21:05
Big

Вложений: 3

1. Удалил написанные вами драйвера из директории E:\WINDOWS\system32\Drivers\ с помощью icesword.
Также удалил и другие драйвера которые были созданы 14 и 15 июля.
Но AVZ все равно их нашел как не удаленные:
E:\WINDOWS\system32\Drivers\uju1oty1.sys
E:\WINDOWS\system32\Drivers\uzu1oty1.sys
E:\WINDOWS\system32\Drivers\vdu1oty1.sys

Следующие драйвера удалил из E:\WINDOWS\system32\Drivers\, теперь как я понимаю надо удалять их и из System32
Winhq20.sys
Winlu42.sys
Winwf08.sys

2. После выполнения скрипта в AVZ и после перезагрузки винды было выдано системное сообщение - что то было восстановлено, хотя восстановление системы было отключено

3. На данный момент при входе в интернет дикой скачки трафика не происходит.

PS Файл Hosts почистил, но почему то не получилось почистить его через скрип... хотя там вроде все предельно просто...
15.07.2008, 23:48
PavelA

Вот это уже остатки:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winwf08');
DeleteService('Winhq20');
DeleteService('Udk86');
DeleteService('Pyh64');
DeleteService('tcpsr');
SetServiceStart('tcpsr', 4);
SetServiceStart('Pyh64', 4);
DeleteFile('E:\WINDOWS\System32\Drivers\Pyh64.sys');
DeleteFile('E:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Udk86.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winhq20.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winlu42.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\Winwf08.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Плюс профиксить через HijackThis:
[CODE]O20 - Winlogon Notify: reset5 - E:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O20 - Winlogon Notify: WinCtrl32- - E:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - E:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32- - E:\WINDOWS\
[/CODE]

Сделать новые логи с п.10 Правил
16.07.2008, 14:50
Big

Вложений: 2

Пока все нормально работает, спасибо за помощь :thumbs:
16.07.2008, 15:10
Kuzz

В логах чисто.

[QUOTE=Big;255639]
E:\WINDOWS\system32\Drivers\uju1oty1.sys
E:\WINDOWS\system32\Drivers\uzu1oty1.sys
E:\WINDOWS\system32\Drivers\vdu1oty1.sys
[/QUOTE]

Скорее всего это драйвера AVZ, которые он ставит под "случайными" именами чтоб их звери не заблокировали.

Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:
[quote=anton_dr;202455]
И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?[/quote]
Вы можете его высказать в теме [url= http://virusinfo.info/showthread.php?t=19883]Скажи, что ты думаешь о Virusinfo[/url]
19.08.2008, 20:38
Big

Защита от руткита

Здравствуйте!
Поднимаю тему с просьбой больше о совете, нежели о лечении компьютера. Так как вычищать руткиты посредствам AVZ и Icesword я научился - благодаря Вам!
Проблема просто в том, что через некоторое после лечения руткит опять появился на компьютере. Далее пролечил сам (по аналогии), все стало хорошо, но через некоторое время опять проблема - опять руткит.
Хотел попросить совета по методам защиты от этой гадости - какие программы посоветуете (если еще и теорию (книги, статьи и тд) доходчивую порекомендуете про руткиты - огромный респект).
Также хотел спросить:
мне сказали сменить все пароли - поконкретней хотелось бы знать, что надо менять? боюсь что то упустить..
19.08.2008, 21:05
kps

[QUOTE=Big;270447]Хотел попросить совета по методам защиты от этой гадости - какие программы посоветуете (если еще и теорию (книги, статьи и тд) доходчивую порекомендуете про руткиты - огромный респект). [/QUOTE]

Вы можете записаться в группу Студенты, чтобы пройти обучение по нашему методу. Тогдо у Вас будет доступ к нашим учебникам.
Заявку можно подать через Мой кабинет - Членство в группах.
19.08.2008, 21:22
Big

[quote=kps;270468]Вы можете записаться в группу Студенты, чтобы пройти обучение по нашему методу. Тогдо у Вас будет доступ к нашим учебникам.
Заявку можно подать через Мой кабинет - Членство в группах.[/quote]

Очень хотел бы пройти обучение, хотелось бы наращивать свои навыки в этой теме!!
Где я могу поподробнее почитать про группу Студенты? про метод обучения и тд
19.08.2008, 21:27
kps

[url]http://virusinfo.info/showthread.php?t=15090[/url]
19.08.2008, 22:23
Big

[quote=kps;270490][URL]http://virusinfo.info/showthread.php?t=15090[/URL][/quote]

Спасибо за информацию, ознакомился, очень понравилось - подал заявку! надеюсь скоро приступить к занятиям :)
22.02.2009, 06:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\windows\\system32\\drivers\\wingo86.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] e:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.cjb[/B] (DrWEB: Trojan.Packed.511)[*] e:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.anj[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]