Здравствуйте! Завелся вирус Rootkit.Win32.Podnuha.a, делает внезапную перезагрузку.
Касперский его находит в System Memory, предлагает сделать перезагрузку...компьютер перезагружаю и он его опять находит! Помогите пожалуйста...логи прикрепил!
Здравствуйте! Завелся вирус Rootkit.Win32.Podnuha.a, делает внезапную перезагрузку.
Касперский его находит в System Memory, предлагает сделать перезагрузку...компьютер перезагружаю и он его опять находит! Помогите пожалуйста...логи прикрепил!
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\rdfa05d.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\igxpmp32.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\WDFLDR.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\mglpewgn.sys',''); QuarantineFile('C:\WINDOWS\system32\iertutil.dll',''); QuarantineFile('.exe',''); QuarantineFile('C:\WINDOWS\system32\.exe',''); QuarantineFile('C:\WINDOWS\.exe',''); QuarantineFile('C:\DOCUME~1\F24B~1\LOCALS~1\Temp\init.exe',''); DeleteFile('C:\DOCUME~1\F24B~1\LOCALS~1\Temp\init.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2. Повторить логи.
The worst foe lies within the self...
Отправляю логи...
Выполните этот скрипт:
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\Documents and Settings\Олеся\Local Settings\Temp\89axq.dll'); QuarantineFile('C:\WINDOWS\system32\cmdial32a.dll',''); DelBHO('{A3AB2AB5-0E48-472B-A6B2-60C8C5E1D635}'); DeleteService('rdfa05d'); DeleteService('mglpewgn'); QuarantineFile('C:\WINDOWS\system32\Drivers\mglpewgn.sys',''); QuarantineFile('C:\WINDOWS\system32\whstr4j4.exe',''); DeleteFile('C:\WINDOWS\system32\whstr4j4.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\mglpewgn.sys'); DeleteFile('digeste.dll'); DeleteFile('C:\WINDOWS\system32\digeste.dll'); DeleteFile('C:\WINDOWS\digeste.dll'); DeleteFile('C:\WINDOWS\system32\cmdial32a.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
The worst foe lies within the self...
Файлик отправлен.
Логи повторите, плиз.
Логи
Выполните этот скрипт:
Проблема присутствует?Код:begin RegKeyParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','REG_SZ','C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll'); end.
The worst foe lies within the self...
Перезагрузка так и продолжается...вот что пишет в Событиях-Система!
Компьютер был перезагружен после критической ошибки: 0x10000050 (0xffffffec, 0x00000000, 0x8054a51a, 0x00000000). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini060209-04.dmp.
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\rdfa05d.sys',''); DeleteService('rdfa05d'); DeleteFile('C:\WINDOWS\System32\drivers\rdfa05d.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46795
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Несколько раз машина перегружалась во время создания логов...
В AVZ , ПРОСМОТР КАРАНТИНА файлов нет!
Какое-то новое зверье вылезло.
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('i386si'); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); QuarantineFile('C:\WINDOWS\system32\calc.ifo',''); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe',''); DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\calc.ifo'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); Executerepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=46795
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\mglpewgn.sys - Trojan.Win32.BHO.ext ( DrWEB: Trojan.NtRootKit.1652, BitDefender: Rootkit.17589 )
- c:\windows\system32\whstr4j4.exe - Backdoor.Win32.Agent.ahfj ( DrWEB: Trojan.Proxy.4871, BitDefender: Trojan.Generic.970120 )
Уважаемый(ая) Doink_clown, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.