Показано с 1 по 13 из 13.

трояны...руткиты (заявка № 31618)

  1. #1
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    40

    Thumbs up трояны...руткиты

    Добрый день!
    Помогите, пожалуйста в лечении еще одного компа.
    avira заругалась на процесс ati2wcxx.sys
    В логах avz кроме подозрительных объектов не нравятся:
    .sys
    ati0xdxx.sys (я так понимаю, это из одной команды с ati2wcxx.sys, имена меняются что ли)
    megaup~1.dll
    Что еще плохого есть?
    PS:Пожалуйста, не ругайтесь, что логи не совсем по правилам...
    (восстановление системы было не отключено и не все лишние процессы остановлены)
    просто комп не мой, сделали логи пока как смогли
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Восстановление отключить!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL','');
     DeleteService('ati0xdxx');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xdxx.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati0xdxx.sys');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
     DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('ati0xdxx');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам,очистите временные папки,кеш браузера и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    40
    Уже отключено и очищено...
    А подскажите, от этого Bonjour какой вред?
    поставился вроде с какой-то прогой от adobe, c Photoshop или acrobat...
    и dns-sd.exe я так понимаю тоже от него...
    зы: основной проге не навредит?
    Последний раз редактировалось lemurz9; 07.10.2008 в 16:02.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786

  6. #5
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    40
    Добрый день!
    В карантин попали только следующие файлы:
    C:\Program Files\MapInfo\Professional7\MapInfoW.bak
    C:\Program Files\Graphisoft\ArchiCAD10\ArchiCAD.exe.bak
    C:\Program Files\DivX\DivXConverter\Converter.exe.bak
    Думаю, присылать их не надо...
    После скрипта MEGAUP~1.DLL и ati2wcxx.sys живы-здоровы и чувствуют себя прекрасно. Выпишите им что-нибудь еще, доктор
    Удалить Bonjour по рецепту Rene-gad еще не успела.
    Вот новые логи

    up
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 08.10.2008 в 11:56.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Удалите Megaupload Toolbar

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys','');
     StopService('ati2wcxx');
     DeleteService('ati2wcxx');
     DeleteService('Bonjour Service');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll');
     DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
     DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}');
     DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('ati2wcxx');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    40
    Добрый день!
    При выполнении скрипта комп выпал в черный экран... Выходить из этого состояния самостоятельно не собирался и был принудительно перезагружен...
    Не знаю, выполнился ли скрипт правильно...
    В карантин попали все те же безвредные файлы, что и в прошлый раз...
    ati2wcxx.sys по-прежнему на месте и в карантин не попал...
    Megaupload Toolbar по хорошему удалить не получается - ошибка setup.exe
    Откючила его пока в надстройках IE...
    Вот новые логи
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Скачайте IceSword, удалите с помощью force delete
    Код:
    C:\WINDOWS\System32\Drivers\ati2wcxx.sys
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('ati2wcxx');
     DeleteService('ati2wcxx');
     DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
     DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}');
     DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll');
     DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('ati2wcxx');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    40
    ati2wcxx.sys не могут найти ни IceSword, ни avz (в безопасном режиме тоже)...
    может с диска загрузиться и из консоли его попробовать удалить?
    скрипт выполнился без ошибок...

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    новый комплект логов давайте ...

  12. #11
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    40
    нету.. его там нету
    я имею ввиду ati2wcxx.sys в логах нет
    посмотрите, больше ничего плохого?
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    ничего плохого

  14. #13
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    40
    Благодарю всех, кто мне помогал

  • Уважаемый(ая) lemurz9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. трояны!!!! руткиты!!!! троянские dll
      От Dron23 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 06.09.2011, 08:37
    2. руткиты+трояны+бекдоры
      От uceps в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.04.2010, 23:22
    3. Трояны, руткиты
      От rustamakhmetov в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.09.2009, 13:53
    4. Набор: руткиты и трояны.
      От qoma в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 21.03.2009, 18:33
    5. руткиты и трояны, как избавится?
      От hexm в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 03:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00229 seconds with 17 queries