Руткит

Printable View

11.12.2009, 10:15
DZon

Руткит

Все ужасно тормозит, gmer обнаруживает руткит
11.12.2009, 11:30
DefesT

[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\qnpjft.dll','');
QuarantineFile('C:\System Volume Information\_restore{7A028360-E5D9-4FF8-9027-FBF3CDF77F32}\RP10\A0005647.com','');
QuarantineFile('C1\WINDOWS\system32\wuauserv.dll','');
QuarantineFile('C:\WINDOWS\system32\wuauserv.dll','');
DeleteFile('C:\WINNT\system32\qnpjft.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service carwalhv
gmer.exe -del service mdogw
gmer.exe -del service mllkdv
gmer.exe -del file "C:\WINNT\system32\qnpjft.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\carwalhv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mdogw"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mllkdv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\carwalhv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mdogw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mllkdv"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделайте новые логи - virusinfo_syscure.zip, лог hijackthis и gmer.
11.12.2009, 12:09
DZon

Выполнил.
Gmer сперва руганулось что нет такого элемента, а потом показала окна с ошибкой так на все строчки скрипта. Только ребут отработал как надо.
11.12.2009, 21:17
thyrex

Выполните скрипт в AVZ
[code]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('E:\autorun.inf','');
DeleteFile('E:\autorun.inf');
ExecuteRepair(19);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + новый лог gmer + новый лог ComboFix
14.12.2009, 08:02
DZon

Сделал. Карантин пустой, система говорит что данный файл уже был загружен.
14.12.2009, 08:22
snifer67

Защитное ПО перед созданеим логов выгружали ?
14.12.2009, 08:28
DZon

Стоит только WKS 6.0.3.837 перед созданием логов его я выключил
14.12.2009, 08:31
snifer67

Чисто.Что с проблемой ?

Удалите комбофикс [url]http://virusinfo.info/showpost.php?p=500136&postcount=2[/url]
Установите SP3 (может потребоваться активация) + все новые заплатки
14.12.2009, 09:41
DZon

Все по прежнему
ComboFix удалил