Какой-то Rootkit. Help!
Printable View
Какой-то Rootkit. Help!
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\PROGRA~1\Internet\LINKCO~1.932\LCLaunch.dll','');
QuarantineFile('C:\PROGRA~1\PROGRA~1\Internet\LINKCO~1.932\LCAdd.dll','');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('fyqgxnqrenjomnv');
QuarantineFile('fyqgxnqrenjomnv.sys','');
DeleteService('AEIWLBRG');
QuarantineFile('C:\WINDOWS\system32\aeiwlbrg.sys','');
DeleteService('Scamesn');
QuarantineFile('Scamesn.sys','');
DeleteFile('Scamesn.sys');
DeleteFile('C:\WINDOWS\system32\aeiwlbrg.sys');
DeleteFile('fyqgxnqrenjomnv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите капантин согласно приложения 3 правил
повторите логи
Архив выслал. Логи сделал.
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\Documents and Settings\Andrey\cqlbup.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\bpggnvcyurl.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\bpggnvcyurl.sys');
DeleteFile('C:\Documents and Settings\Andrey\cqlbup.exe');
DeleteFile('digeste.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('fyqgxnqrenjomnv');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.
Архив выслал. Логи сделал.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\utqxnjk2.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\utqxnjk2.sys');
DeleteService('synsend');
DeleteFile('cqlbup.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('fyqgxnqrenjomnv');
QuarantineFile('C:\WINDOWS\system32\drivers\bpggnvcyurl.sys','');
DeleteService('Scamesn');
QuarantineFile('Scamesn.sys','');
DeleteFile('Scamesn.sys');
DeleteFile('C:\WINDOWS\system32\drivers\bpggnvcyurl.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Архив выслал. Логи сделал.
С архивом что-то не понял. По-моему нового не создалось.
Спасибо.
Симантек надо отключать перед проверкой AVZ, выполните стандартный скрипт №6, в логах чисто...
Да эти новые антивирусы как я понял очевидно и однозначно не выгрузишь. Через диспетчер и службы разве что, и то гемор.
На всяк случай логи сделал еще раз, гляньте.
А так - классическая форма благодарности, т.е. Спасибо (т.е. Респект и уважуха) :>
Скрипт №6 выполните и все на этом...
[QUOTE]А так - классическая форма благодарности[/QUOTE]
Для этого есть кнопочки :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\bpggnvcyurl.sys - [B]Rootkit.Win32.Agent.kja[/B] ( DrWEB: Trojan.NtRootKit.2632 )[/LIST][/LIST]