Показано с 1 по 5 из 5.

Замучал руткит (вроде Win32 Podnuha-bj) (заявка № 31343)

  1. #1
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    2
    Вес репутации
    37

    Exclamation Замучал руткит (вроде Win32 Podnuha-bj)

    Вот уже пару недель не могу справится с заразой. Началось с пожерания трафика. Применял антивирус (Аваст), возможно частично помогло, но при пререзагрузке воссаздаются файлы вируса. Вобщем докопаться не могу.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1802
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelBHO('{86324241-0A1E-4F40-8933-173371640752}');
     QuarantineFile('C:\WINDOWS\system32\ipxrtmg.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\qkzmtugo.dat','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\For36.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\niwwowkr.exe','');
     DeleteFile('C:\WINDOWS\system32\ipxrtmg.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\qkzmtugo.dat');
     DeleteFile('C:\WINDOWS\System32\Drivers\For36.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincm60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windl36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhl47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkn47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnv47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpw60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpx26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqy36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winra03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsb58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintf60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvf25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwg50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxd58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxe82.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxg25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxg82.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xeh03.sys');
     DeleteFile('C:\WINDOWS\system32\niwwowkr.exe');
     DelWinlogonNotifyByKeyName('WinCtrl32');
     DelWinlogonNotifyByKeyName('lstream');
     BC_ImportAll;
     ExecuteRepair(1);
     ExecuteRepair(13);
     ExecuteSysClean;
     BC_DeleteSvc('For36');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Xeh03');
     BC_DeleteSvc('Winxg82');
     BC_DeleteSvc('Winxg25');
     BC_DeleteSvc('Winxe82');
     BC_DeleteSvc('Winxd58');
     BC_DeleteSvc('Winwg50');
     BC_DeleteSvc('Winvf25');
     BC_DeleteSvc('Wintf60');
     BC_DeleteSvc('Winsb58');
     BC_DeleteSvc('Winra03');
     BC_DeleteSvc('Winqy36');
     BC_DeleteSvc('Winpx26');
     BC_DeleteSvc('Winpw60');
     BC_DeleteSvc('Winnv47');
     BC_DeleteSvc('Winkn47');
     BC_DeleteSvc('Winhl47');
     BC_DeleteSvc('Windl36');
     BC_DeleteSvc('Wincm60');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=31343

    3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Последний раз редактировалось Синауридзе Александр; 04.10.2008 в 17:18.

  4. #3
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    2
    Вес репутации
    37
    Спасбо, вроде полутше стало. Вот новые логи. карантин загрузил.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Ничего подозрительного.
    Сервис Пак 3 поставьте, возможно потребуется активация системы.

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\qkzmtugo.dat - Trojan.Win32.Agent.cid (DrWEB: Trojan.Sentinel)
      2. c:\\windows\\system32\\ipxrtmg.dll - Rootkit.Win32.Podnuha.aes (DrWEB: Trojan.Siggen.165)


  • Уважаемый(ая) pitt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вроде бы руткит
      От prohil в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 15.05.2011, 14:29
    2. Руткит замучил
      От Галина_Влад в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.03.2009, 02:08
    3. Руткит ...вроде бы
      От giggs в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:42
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:45
    5. Rootkit.Win32.Podnuha.blk
      От STAR321 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.02.2009, 20:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00608 seconds with 17 queries