Помогите, пожалуйста, избавиться от следов руткита. Не открываются флэшки и дисковод - доступ запрещен.
Printable View
Помогите, пожалуйста, избавиться от следов руткита. Не открываются флэшки и дисковод - доступ запрещен.
Забыл указать что от Rootkit.Agent.ODG.
Удалял с помощью Unhackme.
Буду благодарен за оперативность.
В логах плохого ничего нет.
Попробуйте в AVZ Файл -- восст.системы п.6,8 отметить и выполнить.
Выполнил, но не помогло
[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]
После первого сканирования системы, еще когда я создавал лог доступ открылся...но тут же закрылся.
Сделайте в безопасном режиме лог Gmer. Как -- смотрите в "Чаво".
Отмечать только системный диск для проверки.
В safemode работает флэшка
выполнить:
[CODE]
begin
BC_DeleteSvc('hjgruippyvbnyh');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить лог Гмер.
Так понимаю не удалилась служба... порекомендуете вручную удалить файлы указанные в логе и имеющие отношение к службе [U][B]hjgruippyvbnyh[/B][/U]?
Удалять не стал, может нужны. В архиве в папке [B]е[/B] это из [I]System32\drivers\[/I] остальное из [I]System32\[/I]
Надо все это поместить в карантин AVZ и загрузить через красную ссылку вверху темы.
Удалять будем после этого. Ват-файл для удаления я или кто-нибудь другой напишем.
Архив создан, пароль установлен, файл загружен. Жду дальнейших указаний.
Заранее благодарен. Алексей.
Сохранить как start.bat в директорию, где лежит Гмер.
[CODE]gmer.exe -del service hjgruippyvbnyh
gmer.exe -del file "C:\WINDOWS\drivers\hjgruirk.sys"
gmer.exe -del file "C:\WINDOWS\system32\hjgruicmd.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgruilog.dat"
gmer.exe -del file "C:\WINDOWS\system32\hjgruilog.dat"
gmer.exe -del file "C:\WINDOWS\system32\hjgruiwsp.dll"
gmer.exe -del file "C:\WINDOWS\system32\hjgrui.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hjgruippyvbnyh"
gmer.exe -reboot[/CODE]
Выполнить.
Повторить лог Гмер.
Не помогло, флэшка не работает.
Теперь нужен будет лог Гмера в обычном режиме.
Это он
Не вижу ничего зловредного в логе. Остались какие-либо проблемы?
Да, при открытии флэшки - нет доступа
Не видно по логам ничего больше? Проблема актуальна.
Мужики, пожалуйста, помогите сделать так, чтобы я видел флэху, вы же волшебники.
[B]UPD: [/B]Если эта информация поможет то скажу, что при входе в систему после включения\перезагрузки, пока еще не загрузились все процессы, открыв проводник можно успеть попасть на флэшку, но потом, естественно что-то загружается и блокирует доступ.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Partizan');
DeleteFile('C:\WINDOWS\system32\drivers\Partizan.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать логи AVZ
попробовать поработать с флешкой. На всякий случай, пропустить chkdsk на флешку в безопасном режиме.
З.Ы. "Мы не волшебники, мы только учимся" (с перефразированный).
[QUOTE='PavelA;427567']Выполнить:[/QUOTE]
Safe Mode?
[QUOTE='PavelA;427567']пропустить chkdsk на флешку в безопасном режиме[/QUOTE]
Имеется ввиду проверка диска? Проблема относиться ко всем вставляемым флэшкам, даже телефон при подключении как съемный диск не открывется.
[QUOTE='PavelA;427567']"Мы не волшебники, мы только учимся"[/QUOTE]
А вот тут не скромничайте (:
Скрипт выполнять в обычном режиме.
В безопасном флешка открывается? Если да, то проверку сделать в нем.
[QUOTE='PavelA;427567']Выполнить:[/QUOTE]
Выполнено в обычном режиме.
[QUOTE='PavelA;427567']пропустить chkdsk на флешку в безопасном режиме[/QUOTE]
Выполнено.
[QUOTE='PavelA;427567']Сделать логи AVZ[/QUOTE]
Прилагается.
[QUOTE='PavelA;427567']попробовать поработать с флешкой.[/QUOTE]
так и не выходит
Параметр NoViewOnDrive в HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer есть?
вот такая статейка есть:[url]http://articles.org.ru/cn/showdetail.php?cid=5630[/url]
Да у меня и HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ не оказалось...
Значит, надо будет искать дальше. :)
[COLOR="Silver"]Может поможет, только что обнаружил... Не запускается служба "Доступ к HID-устройствам".
Ошибка 126. Не найден указанный модуль [/COLOR] [COLOR="Red"]Исправил[/COLOR]
Также попробовал создать новую учетную запись и посмотреть сохраняется ли в ней проблема. Сохраняется...каза такая
Проблему решил так: переставил драйвера служб "Доступ к HID-устройствам" и "Службы IPSEC" (не знаю как они связаны и сомневаюсь что вообще связаны друг с другом, однако чем чОрт не шутит), затем перевел все службы в режим "Авто", создал новую учетную запись, перекинул в нее все данные старой учетки, затем удалил старую учетку и выставил службы.
p.s. все работает, но хвосты все равно дают о себе знать.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \system32\drivers\hjgruikmpmstrw.sys - [B]Trojan.Win32.Tdss.aiol[/B] ( DrWEB: BackDoor.Tdss.266, BitDefender: Trojan.CryptRedol.Gen.3 )[*] \system32\hjgruilvmwysfu.dll - [B]Trojan.Win32.Monder.cqbi[/B] ( DrWEB: BackDoor.Tdss.265 )[*] \system32\hjgruiwsp.dll - [B]Trojan.Win32.Monder.cqbi[/B] ( DrWEB: BackDoor.Tdss.265 )[*] \system32\hjgruixyqxofxj.dll - [B]Trojan.Win32.Monder.cqbh[/B] ( DrWEB: BackDoor.Tdss.264 )[/LIST][/LIST]