Помогите, пожалуйста, прибить руткита.
Компьютер подхватил заразу, теперь на нём не стартует ни AntiVir, ни ProcessExplorer, ни AVZ (без переименования оного).
В безопасном режиме при помощи CureIt всё почистил, перезагрузился и просканировал систему переименованными AVZ и HijackThis. Насколько я понимаю, руткитом является C:\WINDOWS\System32\drivers\a2563573.sys, но опыта составления скриптов для AVZ вообще нет, да и вдруг упустил из виду чего.
Помогите пожалуйста.
Необходимые логи прилагаются.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Remote Administrator сами установили?
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); SetAVZPMStatus(True); ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(9); QuarantineFile('C:\Documents and Settings\LocalService\.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\a2563573.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\a2563573.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\a2563573.sys'); DeleteFile('C:\Documents and Settings\LocalService\.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9.1 или удалите старый.
Да, чтобы меньше беготни было по зданию. Правда, через энное время Avira AntiVir обновила базы и грохнула r_server.exe, так что теперь приходится настраивать исключения и возвращать файл на место.Сообщение от AndreyKa
Файла C:\Documents and Settings\LocalService\.exe давно уж нет (пофиксить его запуск, как я понимаю, можно через HijackThis). Попытался собрать архив для отправки и некоторое время не понимал, почему в него не помещается тело вируса из карантина (только файлы с расширением .ini), потОм оказалось, что они имеют расширение .dta, в то время как AVZ пытается поместить в архив файлы с расширением .dat, переименовал вручную и всё успешно заархивировалось. Скорее всего с этой проблемой (равно как и с «%fystemRoot%» в логах) следует обратиться к автору программы?Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Лог приложил. По нему вижу, что удалённый вирь пытается запуститься. Можно ли это (равно как и ранее упомянутую проблему с файлом «.exe») исправить средствами AVZ?Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
В любом случае огромное спасибо за помощь.
С уважением.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin BC_DeleteSvc('a2563573'); BC_Activate; RebootWindows(true); end.
Прочтите: http://virusinfo.info/showpost.php?p=386579&postcount=1
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\a2563573.sys - Backdoor.Win32.NewRest.z ( BitDefender: Gen:Rootkit.Heur.5003FC9C9C )
Уважаемый(ая) dmn13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
