Подозрение на руткит Alureon в оперативной памяти

**koccmoc** · 08-11-2009, 06:14 PM

Здравствуйте.
Каким-то образом поймал вот такой вирус.
Думаю - посредством торрентов.
Начала отказывать оперативка.
Windows стал выкидывать предупреждения, висли программы, некоторые не открывались.неро перестал жечь диски.
аваст обнаружил алуреон, но ничего сделать с ним не смог..
другие антивирусы тоже были безсильны...
/
После выполнения первого пункта ваших указаний - сканирования AVPTool перестали выскакивать окна, но комп тормозит....
и аваст находит алуреон по прежнему.
/
Заранее благодарю!!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 08-11-2009, 08:00 PM

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Code:

O20 - Winlogon Notify: rbadzm - rbadzm.dll (file missing)

- Выполните скрипт

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('rbadza');
 QuarantineFile('C:\Documents and Settings\umberto\umberto.exe','');
 QuarantineFile('rbadzm.dll','');
 QuarantineFile('C:\WINDOWS\system32\rbadza.sys','');
 QuarantineFile('\\?\globalroot\systemroot\system32\geyekrxdltkohl.dll','');
 DeleteFile('\\?\globalroot\systemroot\system32\geyekrxdltkohl.dll');
 DeleteFile('C:\WINDOWS\system32\rbadza.sys');
 DeleteFile('rbadzm.dll');
 DeleteFile('C:\WINDOWS\system32\rbadzm.dll');
 DeleteFile('C:\Documents and Settings\umberto\umberto.exe');
 DeleteService('rbadza');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(7);
ExecuteRepair(13);
BC_DeleteSvc('rbadza');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**koccmoc** · 08-14-2009, 04:18 PM

Провел все указаные операции.
Тем не мение вирус еще там.
/////
Выслал карантин.

**Rene-gad** · 08-14-2009, 06:25 PM

Originally Posted by Rene-gad

- Сделайте лог GMER

Ждем-сс

**koccmoc** · 08-15-2009, 12:35 PM

Ах да...забыл выслать...
Исправляюсь...

**Rene-gad** · 08-15-2009, 03:18 PM

Код:

Code:

gmer.exe -del service geyekrvmycdppa
gmer.exe -del file "C:\WINDOWS\system32\drivers\geyekrmwxcdllt.sys"
gmer.exe -del file "C:\WINDOWS\system32\geyekrowupqnmk.dll"
gmer.exe -del file "C:\WINDOWS\system32\geyekrmrcyigip.dat"
gmer.exe -del file "C:\WINDOWS\system32\geyekrxdltkohl.dll"
gmer.exe -del file "C:\WINDOWS\system32\geyekrorodairf.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\geyekrvmycdppa"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\geyekrvmycdppa"
gmer.exe -reboot

скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
После перезагрузки повторите логи по правилам + gmer.

**koccmoc** · 08-18-2009, 10:35 PM

Originally Posted by Rene-gad

скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.

что запустить? непонял...

**pig** · 08-18-2009, 11:25 PM

Файл 123.bat, который вы только что сохранили.

**koccmoc** · 08-19-2009, 01:50 PM

извиняюсь, но у меня не получаеться запустить этот файл...
на сайте в ЧаВо и в сети тоже не нашел никаких подсказок, на предмет того, как запускать .bat файлы

**Rene-gad** · 08-19-2009, 01:55 PM

Originally Posted by koccmoc

как запускать .bat файлы

Двойным щелчком грызуна

**koccmoc** · 08-19-2009, 04:48 PM

ок. мне стыдно.

не буду рассказывать как первоначально сохранил .bat, и почему он у меня не запускался, дабы приступом веселья не порализовать работу форума..

/
/
во время запуска бата выскачили 2 ошибки, на всякий случай высылаю скриншоты этих вещей.
/
выполнил заново все логи.
но Gmer не запустился с нескольких попыток
притом зависая в том месте, где раньше выкидывал предупреждение о найденом рутките

**Гриша** · 08-19-2009, 04:59 PM

В логах чисто...

**koccmoc** · 08-19-2009, 11:12 PM

Значит ли это что мой комп. чист???
могу ли я теперь ставить заново windows???
Kaspersky2009 нашел вирусы только в карантинах вроди...

**pig** · 08-19-2009, 11:30 PM

А смысл был лечиться, если систему переставлять собрались?

**koccmoc** · 08-20-2009, 12:15 AM

так ведь вычитал что такого типа вирус остаеться даже после переустоновки системы...
даже на этом сайте если не ошибаюсь...!?

**Гриша** · 08-20-2009, 08:29 AM

Ошибаетесь...

**koccmoc** · 08-20-2009, 12:11 PM

значит ошибаюсь...
в любом случае большое спасибо всем хелперам, и остальным учавствующим лицам!!!
СПАСИБО ЗА ПОМОШЬ!!!!

**Rene-gad** · 08-20-2009, 12:22 PM

Originally Posted by koccmoc

вирус остаеться даже после переустоновки системы...

Да, это так.
Но после переустановки никакой вирус не остается

**koccmoc** · 08-20-2009, 01:14 PM

Originally Posted by Rene-gad

Да, это так.
Но после переустановки никакой вирус не остается

а что тогда так, если вирус можно удалить посредством переустановки??

**Rene-gad** · 08-20-2009, 01:27 PM

Originally Posted by koccmoc

а что тогда так, если вирус можно удалить посредством переустановки??

Правописание

Подозрение на руткит Alureon в оперативной памяти (заявка № 51825)

Thread Tools

Подозрение на руткит Alureon в оперативной памяти

Similar Threads

вирус оперативной памяти

вирус в оперативной памяти

Вирус в оперативной памяти.

модифицированный Win32/Kryptik.GZ троян найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\\WINDOWS\\system32\\pmnnMDUM.dll. (заявка №24711)

Win32:Alureon-DA [Rtk] руткит хелп ми

Tags for this Thread

Posting Permissions