Здравствуйте, проблема заключается в том, что видимо руткит подменяет места загрузки сис. файлов, вплоть до безопасного режима, блокирует установку драйверов, подменой winsock замаскированно рассылает спам. Причем принудительное лечение winsock (посредством avz) приводит к полному пропаданию сети.
Испробовал все что мог, но различный антивирусный софт кроме avz его не детектит, либо не устанавливается вообще из-за блокировки драйверов...исключение касперский, встал, но нифига не видит.
Выручайте т.к. переустановить смерти подобно, там столько всего настроено, что если потеряю несколько месяцев отлаживать буду!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('MEMSWEEP2');
StopService('VRCBQFSE');
QuarantineFile('C:\WINDOWS\ServicePackFiles\i386\fxsclnt.msi','');
QuarantineFile('C:\Distrib\I386\FXSCLNT.MSI','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\drivers\vga.sys','');
QuarantineFile('nfrd960.sys','');
QuarantineFile('C:\WINDOWS\system32\16.tmp','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lmimirr.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\drivers\dmload.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\DRIVERS\ks.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\BOOTVID.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\hal.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\DRIVERS\fdc.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\DRIVERS\asyncmac.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\drivers\afd.sys','');
QuarantineFile('C:\WINDOWS\system32\SD3Service.exe','');
QuarantineFile('C:\WINDOWS\system32\SuperMon.DLL','');
QuarantineFile('C:\DOCUME~1\2D0D~1.SER\LOCALS~1\Temp\VRCBQFSE.exe','');
QuarantineFile('C:\WINDOWS\system32\SDRES_ru.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\smss.exe','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\smss.exe','');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Копирование.
Это у вас терминальный сервер? Тогда с путями действительно путаница, но это фича, а не руткит.
Внимание! Политики пользователя сбрасывать нельзя, слетит IPSec.
Добавлено через 4 минуты
Я по живому править не стал, вот изменённый скрипт, выполните его:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('MEMSWEEP2');
StopService('VRCBQFSE');
QuarantineFile('C:\WINDOWS\ServicePackFiles\i386\fxsclnt.msi','');
QuarantineFile('C:\Distrib\I386\FXSCLNT.MSI','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\drivers\vga.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\vga.sys','');
QuarantineFile('nfrd960.sys','');
QuarantineFile('C:\WINDOWS\system32\16.tmp','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lmimirr.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\drivers\dmload.sys','');
QuarantineFile('C:\DWINDOWS\System32\drivers\dmload.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\DRIVERS\ks.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ks.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\BOOTVID.dll','');
QuarantineFile('C:\WINDOWS\system32\BOOTVID.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\hal.dll','');
QuarantineFile('C:\WINDOWS\system32\hal.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\DRIVERS\fdc.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fdc.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\system32\DRIVERS\asyncmac.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\asyncmac.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\drivers\afd.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\afd.sys','');
QuarantineFile('C:\WINDOWS\system32\SD3Service.exe','');
QuarantineFile('C:\WINDOWS\system32\SuperMon.DLL','');
QuarantineFile('C:\DOCUME~1\2D0D~1.SER\LOCALS~1\Temp\VRCBQFSE.exe','');
QuarantineFile('C:\WINDOWS\system32\SDRES_ru.dll','');
QuarantineFile('C:\Documents and Settings\Администратор.SERV\WINDOWS\System32\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\smss.exe','');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось pig; 31.01.2008 в 12:22.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: