Показано с 1 по 4 из 4.

Wuo44.sys (заявка № 26648)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    60

    Question Wuo44.sys

    То же самое, но файл не Qcuh45.sys, а Wuo44.sys
    И на ней ситуация жестче - при попытке анализа/лечения AVZ машина уходит на перезагрузку и дальше, как только загружается, также уходит на перезагрузку.

    Логи получилось сделать только в безопасном режиме, высылаю.

    Есть смысл попробовать подобный подход?
    Последний раз редактировалось Sosna; 19.07.2008 в 21:20.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    85.255.113.149 85.255.112.64 - Вам знакомы?
    IceSword удалите C:\WINDOWS\System32\Drivers\Wuo44.sys
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\kdzib.exe','');
     QuarantineFile('kdzib.exe','');
     QuarantineFile('C:\WINDOWS\msserv.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wuo44.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wuo44.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\msserv.exe');
     DeleteFile('kdzib.exe');
     DeleteFile('C:\WINDOWS\system32\kdzib.exe');
    BC_ImportAll;
    BC_DeleteSvc('Wuo44');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .

    Повторите логи ко второй машине.
    Последний раз редактировалось wise-wistful; 17.07.2008 в 20:07.

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    60
    Не сообразил, что по каждому случаю отдельная тема.

    Про первую машину ответил в старой теме Пакеты на порт 4099 и левый процесс в модуле пространства ядра

    Про вторую я уже потом создал новую тему: Rootkit , так как по второй машине пришлось немного пошаманить, чтобы не уходила на перезагрузку.
    Соответственно логи поменялись.

    85.255.113.149 85.255.112.64 - Вам знакомы?
    Да, что-то похожее стояло в свойствах IP протокола в качестве DNS-серверов. Вдобавок, были левые переназначения в lmhosts/
    Последний раз редактировалось Sosna; 17.07.2008 в 20:42.

  5. #4
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    31
    Вес репутации
    60
    Спасибо, все полечилось.

    Ответил и отправил файлы в теме "Rootkit" (ссылка в предыдущем посте).

    К той же теме залил карантин.

  • Уважаемый(ая) Sosna, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01649 seconds with 14 queries