WiniService

Printable View

29.03.2009, 00:12
d13mon

Вложений: 3

WiniService

Вечер добрый,

У меня браузер тормозит и я подозреваю, что трафик кто-то жрёт.

Gmer rootkit определил:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) WmiService

В реестре есть разделы, которые создал вирус
HKLM\SYSTEM\CurrentControlSet\Services\WmiService HKLM\SYSTEM\ControlSet002 \Services\WmiService

В общем, что делать?
29.03.2009, 00:21
Aleksandra

Лог Gmer давайте сюда.
29.03.2009, 00:23
V_Bond

активируйте AVZPM и повторите логи ... а так же лог Gmer
29.03.2009, 00:38
d13mon

Вложений: 1

Лог gmer:
29.03.2009, 00:44
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WmiService');
QuarantineFile('C:\WINDOWS\system32\uenxr.dll','');
DeleteFile('C:\WINDOWS\system32\uenxr.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\WmiService','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\WmiService');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WmiService');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=42741[/url]

3. Повторите лог Gmer.

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

[B][COLOR=Red]Карантин выслать обязательно![/COLOR][/B]
29.03.2009, 01:53
d13mon

Вложений: 3

Карантин закачал:

Файл сохранён как
090329_014302_virus_49cea7f604803.zipРазмер файла93126
MD5
b722af17fbff2031528b0c9fd9acede0

Хотелось бы узнать, что это за вирус, когда вы определите его

Новые логи:
новый лог gmer прикреплю позже
29.03.2009, 01:58
Aleksandra

Логи AVZ сейчас пока не нужны. Этот вирус виден в логе Gmer.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

uenxr.dll - [B][COLOR=Black]Trojan-Downloader.Win32.Kido.e [/COLOR][/B]
29.03.2009, 04:24
d13mon

Вложений: 1

Вот новый лог gmer
29.03.2009, 07:35
Aleksandra

1. Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите Registry, затем найдите ветки:

[quote]HKLM\SYSTEM\CurrentControlSet\Services\WmiService[/quote]и удалите все ключи с WmiService...

Тоже самое на

[quote]HKLM\SYSTEM\ControlSet002\Services\WmiService[/quote]
2. Сделайте контрольный лог Gmer.

Как искать и удалять ключи реестра с помощью IceSword [url]http://virusinfo.info/showthread.php?t=39413[/url]
29.03.2009, 16:49
d13mon

Ключи удалил

gmer криминала не нашёл.

Спасибо, [B]Alexandra[/B], за помощь.

Закрываю тему.
30.03.2009, 16:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\uenxr.dll - [B]Trojan-Downloader.Win32.Kido.e[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]