-
Junior Member
- Вес репутации
- 60
Wuo44.sys
То же самое, но файл не Qcuh45.sys, а Wuo44.sys
И на ней ситуация жестче - при попытке анализа/лечения AVZ машина уходит на перезагрузку и дальше, как только загружается, также уходит на перезагрузку.
Логи получилось сделать только в безопасном режиме, высылаю.
Есть смысл попробовать подобный подход?
Последний раз редактировалось Sosna; 19.07.2008 в 21:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
85.255.113.149 85.255.112.64 - Вам знакомы?
IceSword удалите C:\WINDOWS\System32\Drivers\Wuo44.sys
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kdzib.exe','');
QuarantineFile('kdzib.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wuo44.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Wuo44.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('kdzib.exe');
DeleteFile('C:\WINDOWS\system32\kdzib.exe');
BC_ImportAll;
BC_DeleteSvc('Wuo44');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Повторите логи ко второй машине.
Последний раз редактировалось wise-wistful; 17.07.2008 в 20:07.
-
Junior Member
- Вес репутации
- 60
Не сообразил, что по каждому случаю отдельная тема.
Про первую машину ответил в старой теме Пакеты на порт 4099 и левый процесс в модуле пространства ядра
Про вторую я уже потом создал новую тему: Rootkit , так как по второй машине пришлось немного пошаманить, чтобы не уходила на перезагрузку.
Соответственно логи поменялись.
85.255.113.149 85.255.112.64 - Вам знакомы?
Да, что-то похожее стояло в свойствах IP протокола в качестве DNS-серверов. Вдобавок, были левые переназначения в lmhosts/
Последний раз редактировалось Sosna; 17.07.2008 в 20:42.
-
Junior Member
- Вес репутации
- 60
Спасибо, все полечилось.
Ответил и отправил файлы в теме "Rootkit" (ссылка в предыдущем посте).
К той же теме залил карантин.