BAHEK1987 Опубликовано 9 сентября, 2010 Опубликовано 9 сентября, 2010 Еще у одного знакомого заражение ПК Антивирус обнаружил рут кит (проверял авз - авз писал что не мог этот файл переместить - вроде бы так) в общем компьютер Адски зависает (игорь) virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
snifer67 Опубликовано 9 сентября, 2010 Опубликовано 9 сентября, 2010 Выполните скрипт в avz в безопасном режиме begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\locale.exe'); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте на newvirus@kaspersky.com Сделайте новые логи в обычном режиме.
BAHEK1987 Опубликовано 11 сентября, 2010 Автор Опубликовано 11 сентября, 2010 отослал карантин - sysrda32.exe - Backdoor.Win32.Bredolab.hmt все равно аваст пишет обнаружен руткит c/windows/system32/mnmdd.sys компьютер виснет вот свеженькие логи virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 11 сентября, 2010 Опубликовано 11 сентября, 2010 Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по mnmdd и выберите "Turn Run Off", потом подтвердите перезагрузку. Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\mnmdd.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\mnmdd.SYS'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('mnmdd'); BC_DeleteSvcReg('mnmdd'); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. Сделайте новые логи
BAHEK1987 Опубликовано 13 сентября, 2010 Автор Опубликовано 13 сентября, 2010 Новые логи ! система виснет по страшному - но через какое то время отвисает virusinfo_syscheck.zip virusinfo_syscure.zip osam.rar
Roman_Five Опубликовано 13 сентября, 2010 Опубликовано 13 сентября, 2010 (изменено) выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\DRIVERS\wudfrd.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\WudfPf.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\WDICA.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\PDRFRAME.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\PDRELI.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\PDFRAME.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\PDCOMP.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Monfilt.sys',''); BC_ImportAll; BC_QrFile('C:\WINDOWS\system32\DRIVERS\WudfPf.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\WDICA.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\PDRFRAME.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\PDRELI.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\PDFRAME.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\PDCOMP.sys'); BC_QrFile('C:\WINDOWS\system32\drivers\Monfilt.sys'); BC_QrFile('C:\WINDOWS\System32\DRIVERS\wudfrd.sys'); BC_Activate; RebootWindows(true); end. компьютер перезагрузится. выполните скрипт: begin CreateQurantineArchive('quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла".2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ с этого и прошлого карантина сообщите здесь. Изменено 13 сентября, 2010 пользователем Roman_Five
BAHEK1987 Опубликовано 13 сентября, 2010 Автор Опубликовано 13 сентября, 2010 bcqr00001.dat, bcqr00002.dat, bcqr00003.dat, bcqr00004.dat, bcqr00005.dat, bcqr00006.dat, bcqr00007.dat, bcqr00008.dat, bcqr00009.dat, bcqr00010.dat, bcqr00011.dat, bcqr00012.dat, bcqr00013.dat, bcqr00014.dat, bcqr00015.dat, bcqr00016.dat, bcqr00017.dat, bcqr00018.dat, bcqr00019.dat, bcqr00020.dat, bcqr00021.dat, bcqr00022.dat, bcqr00023.dat, bcqr00024.dat, Monfilt.sys, PDCOMP.sys, PDFRAME.sys, PDRELI.sys, PDRFRAME.sys, WDICA.sys, WudfPf.sys, wudfrd.sys - Rootkit.Win32.Agent.biiu
Roman_Five Опубликовано 13 сентября, 2010 Опубликовано 13 сентября, 2010 скачайте AVZ 4.35 обновите базы. сделайте новые логи. логи прикрепите.
thyrex Опубликовано 13 сентября, 2010 Опубликовано 13 сентября, 2010 Файлы, которые брали в карантин в последнем скрипте, замените чистыми из дистрибутива http://virusinfo.info/showthread.php?t=51654
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти