Помогите избавится от кернел руткита!

Printable View

24.11.2009, 13:06
Pavelhard

Помогите избавится от кернел руткита!

Помогите избавится от кернел руткита!

НЕОБХОДИМОЕ ПРИЛАГАЮ ВО ВЛОЖЕНИИ
24.11.2009, 13:32
Rene-gad

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе "Ручное лечение"
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('glaide32');
QuarantineFile('C:\WINDOWS\System32\drivers\kl1.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\glaide32.sys','');
QuarantineFile('digiwet.dll','');
QuarantineFile('F:\hbcd\wintools\autorun.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('digiwet.dll');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('C:\WINDOWS\system32\drivers\glaide32.sys');
DeleteService('glaide32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('glaide32');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в разделе "Ручное лечение"
[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.
[/CODE]
- Закачайте карантин C:\quarantine.zip по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
25.11.2009, 22:15
Pavelhard

А вот и карантин

но похоже, что и после перезагрузки находим опять то же UZE4ODKY с вариантами замены букв
25.11.2009, 22:44
thyrex

[QUOTE='Pavelhard;516925']что и после перезагрузки находим опять то же UZE4ODKY[/QUOTE]Антивирус отключать не пробовали на время создания логов и выполнениz скриптов. Это драйвер AVP Tool

Пока ждем результатов исследования карантина

Выполните скрипт
[CODE]begin
ExecuteREpair(9);
RebootWindows(true);
end.[/CODE]После перезагрузки сделайте новый лог
25.11.2009, 22:45
Pavelhard

это после очистки МВАМ

это после очистки МВАМ

антивирус отключен был, после перезагрузки найдено такое неизвестное устройство и файл, ему соответствующий UZE4ODKY
ROOT\LEGACY_UZE4ODKY\0000
это как оно показано в диспетчере задач
25.11.2009, 22:58
Pavelhard

после последней группы команд в смысле скрипта

begin
ExecuteREpair(9);
RebootWindows(true);
end.
25.11.2009, 23:00
thyrex

Неизвестное устройство удалите в Диспетчере устройств и проследите, появится ли оно после перезагрузки

[QUOTE='thyrex;516956']Пока ждем результатов исследования карантина[/QUOTE]
25.11.2009, 23:10
Pavelhard

а сегодня оказывается выпустили новую версию - 9

и вот результаты сканирования теперь новой программой

удаленное устройство не появляется
02.12.2009, 15:31
Pavelhard

Ведется ли работа с карантином?

Добрый день, хотелось бы узнать, как идет работа?

У меня по прежнему проблемы, множество программ не запускается, почта The BAT! не работает..

из поиска и общения на других форумах понял, что
kl1.sys - драйвер Kaspersky Workstation
он собственно и был привязан к удаляемому устройству, так что, извините, не вижу логики :(
02.12.2009, 18:27
Rene-gad

- Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
03.12.2009, 17:11
Pavelhard

сделал я лог последней версией - ничего эта утилита не нашла

зачем вам пустой лог?
04.12.2009, 17:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]