Показано с 1 по 12 из 12.

Помогите избавится от кернел руткита! (заявка № 61114)

  1. #1
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    8
    Вес репутации
    30

    Question Помогите избавится от кернел руткита!

    Помогите избавится от кернел руткита!

    НЕОБХОДИМОЕ ПРИЛАГАЮ ВО ВЛОЖЕНИИ

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Выполните скрипт в разделе "Ручное лечение"
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('glaide32');
     QuarantineFile('C:\WINDOWS\System32\drivers\kl1.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\glaide32.sys','');
     QuarantineFile('digiwet.dll','');
     QuarantineFile('F:\hbcd\wintools\autorun.exe','');
     QuarantineFile('F:\autorun.inf','');
     DeleteFile('digiwet.dll');
     DeleteFile('C:\WINDOWS\system32\digiwet.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\glaide32.sys');
     DeleteService('glaide32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('glaide32');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    -Выполните скрипт в разделе "Ручное лечение"
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');    
    end.
    - Закачайте карантин C:\quarantine.zip по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Сделайте лог полного сканирования MBAM.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    8
    Вес репутации
    30

    А вот и карантин

    но похоже, что и после перезагрузки находим опять то же UZE4ODKY с вариантами замены букв
    Последний раз редактировалось Pavelhard; 25.11.2009 в 22:33. Причина: карантин - не сюда, красная ссылка есть

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Цитата Сообщение от Pavelhard Посмотреть сообщение
    что и после перезагрузки находим опять то же UZE4ODKY
    Антивирус отключать не пробовали на время создания логов и выполнениz скриптов. Это драйвер AVP Tool

    Пока ждем результатов исследования карантина

    Выполните скрипт
    Код:
    begin
    ExecuteREpair(9);
    RebootWindows(true);
    end.
    После перезагрузки сделайте новый лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    8
    Вес репутации
    30

    это после очистки МВАМ

    это после очистки МВАМ

    антивирус отключен был, после перезагрузки найдено такое неизвестное устройство и файл, ему соответствующий UZE4ODKY
    ROOT\LEGACY_UZE4ODKY\0000
    это как оно показано в диспетчере задач
    Последний раз редактировалось Pavelhard; 25.11.2009 в 22:52.

  7. #6
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    8
    Вес репутации
    30
    после последней группы команд в смысле скрипта

    begin
    ExecuteREpair(9);
    RebootWindows(true);
    end.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Неизвестное устройство удалите в Диспетчере устройств и проследите, появится ли оно после перезагрузки

    Цитата Сообщение от thyrex Посмотреть сообщение
    Пока ждем результатов исследования карантина
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    8
    Вес репутации
    30

    а сегодня оказывается выпустили новую версию - 9

    и вот результаты сканирования теперь новой программой

    удаленное устройство не появляется

  10. #9
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    8
    Вес репутации
    30

    Ведется ли работа с карантином?

    Добрый день, хотелось бы узнать, как идет работа?

    У меня по прежнему проблемы, множество программ не запускается, почта The BAT! не работает..

    из поиска и общения на других форумах понял, что
    kl1.sys - драйвер Kaspersky Workstation
    он собственно и был привязан к удаляемому устройству, так что, извините, не вижу логики

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Сделайте лог полного сканирования MBAM.

  12. #11
    Junior Member Репутация
    Регистрация
    24.11.2009
    Сообщений
    8
    Вес репутации
    30
    сделал я лог последней версией - ничего эта утилита не нашла

    зачем вам пустой лог?

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Pavelhard, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите избавиться от руткита
      От sclaus в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.11.2009, 20:41
    2. Не, могу, избавится, от руткита
      От ser-gei в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.07.2009, 14:00
    3. Помогите, пожалуйста, прибить руткита.
      От dmn13 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.05.2009, 15:43
    4. Помогите еще раз избавиться от Руткита!!!
      От D.A.Roshkov в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 08:33
    5. Помогите избавиться от руткита
      От Angelisk в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.11.2008, 15:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00718 seconds with 16 queries