Показано с 1 по 16 из 16.

помогите вылечить rootkit podnuha.a (заявка № 47106)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32

    Exclamation помогите вылечить rootkit podnuha.a

    касперски находит, но вылечить не может.
    логи прилагаются

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\btiwcyep.sys','');
     DelBHO('{1E5AA7AA-D2A9-4D90-A14B-984048FEF4F2}');
     QuarantineFile('C:\WINDOWS\system32\iqjnhitj.dll','');
     QuarantineFile('c:\program Files\MicPhone\antit.exe','');
     QuarantineFile('c:\progra~1\MicPhone\antit.dll','');
     QuarantineFile('C:\WINDOWS\system32\3361\SVCHOST.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\reader_s.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\crsscc.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethzpaxj.sys','');
     QuarantineFile('C:\WINDOWS\dhcp\svchost.exe','');
     DeleteService('DhcpSrv');
     QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\avfkby8j.SYS','');
     DeleteFile('C:\WINDOWS\dhcp\svchost.exe');
     DeleteFile('C:\Documents and Settings\Администратор\crsscc.exe');
     DeleteFile('C:\Documents and Settings\Администратор\reader_s.exe');
     DeleteFile('C:\WINDOWS\system32\3361\SVCHOST.exe');
     DeleteFile('C:\WINDOWS\system32\iqjnhitj.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47106
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32
    при загрузке системы (еще до выполнения скрипта) после входа в учетную запись, перестал загружаться explorer и все что загружалось при автозагрузке. при попытке вызвать explorer в диспетчере задач вылезло сообщение "exlporer не является приложением win32". Запустил скрипт, перезагрузился. запустил каспера, тот опять нашел тот же rooklit. Cделал заново все логи.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин большой, так что придется подождать.
    Пока еще один скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('c:\windows\system32\ruvdllm.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteService('ntalme');
     QuarantineFile('C:\WINDOWS\system32\ntalme.sys','');
     DeleteService('ethzpaxj');
     SetServiceStart('btiwcyep', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\btiwcyep.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\aoyvnyrk.SYS');
     DeleteFile('C:\WINDOWS\system32\Drivers\btiwcyep.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ethzpaxj.sys');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('c:\windows\system32\ruvdllm.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Далее прислать новый карантин. Повторить логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32
    обновил карантин и логи.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Отключите службу восстановления системы (см. Приложение 1 Правил).
    Отключите антивирус.
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
     BC_DeleteSvc('ntalme');
     BC_DeleteSvc('sopidkc');
     SysCleanAddFile('C:\WINDOWS\System32\reader_s.exe');
     SysCleanAddFile('C:\Program Files\ABBYY Lingvo 12\Lvagent.exe');
     SysCleanAddFile('c:\progra~1\MicPhone\antit.dll');
     QuarantineFile('C:\WINDOWS\system32\dfshim.dll','');
     DeleteFile('ruvdllm.dll');
    SetAVZPMStatus(True);
     ExecuteRepair(6); 
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Обновите базы AVZ!
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  8. #7
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32
    каспер уже не находит вирусов. проблема осталась в том что, при запуске системы практически ничего не загружается (ни explorer, ни антивирус, ни прочие программы из автозагрузки). Интернета тоже нет (поэтому не могу обновить базы avz). Возможно все это вслдествие того, что в самом начале я чистил комп из-под другой системы NOD'ом. лог карантин прилагаются.

  9. #8
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32
    неужели никто не сталкивался с такой проблемой?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
    end.
    Шлём карантин.

    практически ничего не загружается (ни explorer, ни антивирус, ни прочие программы из автозагрузки). Интернета тоже нет (поэтому не могу обновить базы avz). Возможно все это вслдествие того, что в самом начале я чистил комп из-под другой системы NOD'ом
    Пуск - Выполнить:
    Введите комадну: sfc /scannow
    Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

  11. #10
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32
    вообщем, сначала sfc не запускался. я скопировал файлы sfc.exe sfc.dll с другой системы. запустил sfc работает. запускаю scannow, ошибка , говорит что rpc недоступен. После выполнения некоторых действий с сертификатами, прочитанных с гугла, запустилась проверка файлов. Попросила установочный диск xp pro sp3. Вставил диск, через некоторое время выводит другое сообщение о dll-кэше, просит установочный диск windows xp professional. Тот что в дисководе не подходит. Нажимаю пропустить, вылазиет опять. и так до самого конца проверки почти непрерывно вылазили эти сообщения. в итоге система не восстановилась, о чем говорит отсутствие подключения к сети, из-за того что не получает ip. Где-то читал, что это из-за того что на диске система corporate edition, но систему на ноут ставил не я, поэтому не знаю с какого дистрибутива она ставилась.
    как решить эту проблему?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от damenic Посмотреть сообщение
    Где-то читал, что это из-за того что на диске система corporate edition, но систему на ноут ставил не я, поэтому не знаю с какого дистрибутива она ставилась.
    как решить эту проблему?
    Найти дистрибутив, с которого она ставилась - логично?

  13. #12
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32
    дистрибутив я нашел, только вот не хочет он его принимать.сначала он просит диск windows xp sp3, причем исходный дистрибутив ему не подходит, а более поздняя версия sp3 подходит. Потом просит диск windows xp professional, причем уже ни исходный дистрибутив, ни более поздняя версии не прокатывают.

    Может можно как нибудь обновить винду без потери установленных драйверов?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от damenic Посмотреть сообщение
    Может можно как нибудь обновить винду без потери установленных драйверов?
    Что Вы имеете ввиду под Обновить? Можете попробовать, накатать по новой СП3.

  15. #14
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    11
    Вес репутации
    32
    если установить новую систему - снесутся все драйвера. Так вот нужно чтобы была рабочая система (а не та что щас) с установленными драйверами. Самих дисков с драйверами у меня нет. Восстановить файлы винды с помощью sfc не получается. Если накатать по новой сп3 все драйвера снесутся, как я понимаю, или нет?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от damenic Посмотреть сообщение
    если установить новую систему - снесутся все драйвера.
    ммм, их просто нужно будет установить по новой и только на то оборудования, под которое нет подходящих драйверов Виндовс. Драйеры на дисках как правило не актуальны, посему нужно так или эдак качать последние с сайтов производителей оборудования.
    Цитата Сообщение от damenic Посмотреть сообщение
    Если накатать по новой сп3 все драйвера снесутся, как я понимаю, или нет?
    Установка сервис пака как правило не влечет за собой необходимости, обновлять драйверы оборудования.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 24
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) damenic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 04.06.2009, 18:29
    2. Ответов: 1
      Последнее сообщение: 02.06.2009, 18:13
    3. Rootkit.Win32.Podnuha.ak
      От Igorka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:31
    4. Rootkit.Win32.Podnuha.bsq
      От Jurgent в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.02.2009, 18:53
    5. Rootkit.Win32.Podnuha.ay помогите удалить!
      От Stask84 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 27.04.2008, 23:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00622 seconds with 16 queries