Замучил рутькить

Printable View

06.03.2009, 16:40
scboy

Вложений: 3

Замучил рутькить

нод находит synsenddrv.sys и убивает.
говорит, что там живет RootKit.Win32
сканирование ничего не дает.
dr.web бесплатный отсканировал, но проблема осталась

обычная загрузка приводит к синему экрану.

возможна только загрузка в сафе и последняя стабильная. но тоже не всегда.
06.03.2009, 16:51
V_Bond

загрузите последнюю удачную конфигурацию
отключите антивирус!
выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteService('dpedk');
QuarantineFile('C:\WINDOWS\system32\drivers\ognitu.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ognitu.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
06.03.2009, 17:16
scboy

карантин ушел. логи скоро будут
06.03.2009, 17:24
scboy

Вложений: 3

после выполнения скрипта загрузилось в обычном режиме без синего экрана смерти.

там и были сделаны логи.
для логов е-нод выключил.
06.03.2009, 18:35
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\ognitu.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\The Bat!\test\Attach\00001716.MSG');
BC_ImportDeletedList;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('synsend');
BC_DeleteSvc('dpedk');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Повторите логи по правилам.
06.03.2009, 22:01
scboy

Вложений: 3

и этот скрипт тоже выполнил.

после запуска AVZ енод выключил.

после создания логов не захотел запускаться хиджек.

запустил его после перезапуска системы.
07.03.2009, 00:07
V_Bond

выполните скрипт
[code]
begin
DeleteFile('C:\RECYCLER\S-1-5-21-220523388-515967899-1801674531-500\Dc5.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте лог [url]http://www.gmer.net/index.php[/url]
07.03.2009, 17:08
scboy

Вложений: 1

вроде все заработало.
правда драйвера и некоторые программы слетели.
но это поправимо.

гмер лог прилагается.
07.03.2009, 17:10
V_Bond

плохого ничего не вижу ...
07.03.2009, 19:38
scboy

отлично! будем считать, что вылечилось. спасибо :)
пошел читать [URL="http://virusinfo.info/showthread.php?t=30339"]десять заповедей[/URL]
08.03.2009, 19:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]