Как вынести этот гребаный руткит????
Один файл перехватывает работу с фаловыми системами и клавиатурой, второй - сеть. Rootkit Unhooker'ом снимаю хуки, но после снятия code hooks на ntkrnlpa.exe комп вешается, после включения руткит снова в работе.
Как вынести этот гребаный руткит????
Один файл перехватывает работу с фаловыми системами и клавиатурой, второй - сеть. Rootkit Unhooker'ом снимаю хуки, но после снятия code hooks на ntkrnlpa.exe комп вешается, после включения руткит снова в работе.
Device Lock чем вам не угодил ? ну не нравится ... через установку удаление программ деинсталируйте ....
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\8.tmp',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Да, согласен, это всеж девайслока хуки. Перебдел чуток.
тему прошу считать закрытой
карантин пришлите .... там есть очень подозрительный файлик ...
C:\WINDOWS\system32\8.tmp в карантин добавить?
Добавлено через 5 минут
после прогона скрипта (только убрал перезагрузку) был снят хук с функции ntconnectport и symantec antivirus тут же нашел Trojan Horse filename vd3ndu1.sys
Добавлено через 28 минут
и это оказался файл сервиса AVZGuard...
Последний раз редактировалось Dudka; 09.07.2008 в 16:22. Причина: Добавлено
1) Без перезагрузки не сработает BC.
2) Антивирус нужно отключать перед выполнением скрипта. Он может мешать AVZ. Симантек тут не единственный, и Авира и еще кто - проявляют мастерство и ловят драйвер AVZ не по делу.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Удалил симантек, Выполнил скрипт.
Файла 8.tmp не было на диске.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\8.tmp',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
выложил сюда http://virusinfo.info/upload_virus.php
файла в карантине нет ... попробуйте скопировать его Unhooker'ом и прислать ...
прогнал "Скрипт печения/карантина и сбора информации для раздела "Помогите" virusinfo.info"
сейчас ругнулся только на vnchook.dll но это нормально... UltraVNC стоит по делу...
похоже все чисто?
мне этот C:\WINDOWS\system32\8.tmp даже Gmer не показывает не говоря уж о Rootkit Unhooker'e
выполните скрипт ...
если что -то попадет в карантин пришлите согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('MEMSWEEP2'); QuarantineFile('C:\WINDOWS\system32\8.tmp',''); DeleteFile('C:\WINDOWS\system32\8.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Rootkit Revealer 1.7 ничего не показал
Добавлено через 4 минуты
после
карантин пустой все равноКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('MEMSWEEP2'); QuarantineFile('C:\WINDOWS\system32\8.tmp',''); DeleteFile('C:\WINDOWS\system32\8.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Dudka; 09.07.2008 в 17:58. Причина: Добавлено
но C:\WINDOWS\system32\8.tmp ушел
и memsweep2 пропал
больше ничего подозрительного ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Dudka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.