Показано с 1 по 8 из 8.

Помогите удалить троян/руткит (заявка № 85945)

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34

    Thumbs up Помогите удалить троян/руткит

    Проблема была обнаружена только по аномально большому и не прекращающемуся трафику, а поскольку интернет на зараженном компьютере мобильный, то и по существенно большим расходам.
    С помощью TcpView и cports было видно, что какой-то процесс постоянно шлет запросы на разные адреса.
    На компьютере был установлен nod32, который ничего не показал. Был заменен на Avira Antivir Personal, который обнаружил проблему, но решить ее не смог.
    Из отчета Avira Antivir Personal:
    C:\WINDOWS\system32\drivers\aaamgv.sys
    [ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
    [ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
    C:\WINDOWS\system32\drivers\obnuts.sys
    [ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
    [ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
    Начало дезинфекции:
    C:\WINDOWS\system32\drivers\aaamgv.sys
    [ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
    [ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
    [ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
    [УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
    [УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '4cc935e0.qua'.
    C:\WINDOWS\system32\drivers\obnuts.sys
    [ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
    [ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
    [ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
    [УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
    [УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '4cd635e6.qua'.

    Удаление файлов вручную с помощью утилиты IceSword ничего не дало, файлы тут же восстанавливались. Стандартные скрипты AVZ запускались.

    Подскажите, пожалуйста что можно сделать в данной ситуации.
    Отчеты AVZ приложены. Отчет HiJackThis получить не удалось. Вся процедура проводилась удаленно (по телефону), компьютер установлен в больнице, попасть лично туда сложно, человек, который все делал по моей подсказке, не обладает достаточными знаниями. Если будет таки необходим отчет HiJackThis, попытаемся еще сделать.
    Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Скачайте "OSAM" (Online Solutions Autorun Manager). В меню
    драйверов правой кнопкой по aaamgv, а также по obnuts и выберите "Turn Run Off". Подтвердите перезагрузку.
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\obnuts.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\aaamgv.sys','');
     DeleteService('aaamgv');
     DeleteService('obnuts');
     DeleteFile('C:\WINDOWS\system32\Drivers\aaamgv.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\obnuts.sys');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34
    Все сделано, но в карантине файлов не оказалось, я не сказал сразу их переслать до создания новых логов, видимо они затерлись?
    Вот новые логи:
    Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,214
    Вес репутации
    3015
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\dpzhntue.dll','');
     DeleteFile('C:\WINDOWS\system32\dpzhntue.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters','ServiceDll');
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul\Parameters');
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tgsjwmul');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34
    Скрипт выполнен, карантин загружен. Карантин загружался 2 раза - правильно второй, с названием virus.zip.

    Новые логи:
    Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    В логах чисто

  8. #7
    Junior Member Репутация
    Регистрация
    05.11.2008
    Сообщений
    42
    Вес репутации
    34
    Проверил, излишней сетевой активности больше нет. Проблема решена, огромное спасибо.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MidasInc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите удалить руткит
      От InquisitorAles в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.08.2011, 18:36
    2. ring0 руткит помогите удалить
      От tankisttt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.04.2011, 09:43
    3. помогите, не могу удалить руткит
      От petr0v1ch в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 26.10.2010, 11:32
    4. червь, руткит Помогите удалить!
      От ИннаS в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.08.2010, 12:50
    5. Помогите удалить руткит
      От nnn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.08.2009, 13:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00827 seconds with 16 queries