DrMOM 0 Опубликовано 7 июня, 2009 Share Опубликовано 7 июня, 2009 Помогите избавиться от руткита! Компьютер заражен - в АВЗ невозможно удалить процесс. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 7 июня, 2009 Share Опубликовано 7 июня, 2009 (изменено) Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll',''); QuarantineFile('C:\WINDOWS.0\system32\drivers\kungsfavbaprrs.sys',''); QuarantineFile('C:\WINDOWS.0\system32\kungsfvrqpkdlh.dll',''); TerminateProcessByName('C:\WINDOWS.0\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX1\vj3wx.exe'); QuarantineFile('C:\WINDOWS.0\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX1\vj3wx.exe',''); DeleteFile('C:\WINDOWS.0\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX1\vj3wx.exe'); DeleteFile('C:\WINDOWS.0\system32\kungsfvrqpkdlh.dll'); DeleteFile('C:\WINDOWS.0\system32\drivers\kungsfavbaprrs.sys'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp\', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксить в HiJack R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {E9598854-2569-48DF-9755-1D330BD50EDE} - (no file)) Сделайте новые логи Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Изменено 7 июня, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
DrMOM 0 Опубликовано 7 июня, 2009 Автор Share Опубликовано 7 июня, 2009 (изменено) Выкладываю лог от Gmer Gmer.log Изменено 7 июня, 2009 пользователем DrMOM Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 7 июня, 2009 Share Опубликовано 7 июня, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 7 июня, 2009 Share Опубликовано 7 июня, 2009 Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service kungsfhbgkvkft gmer.exe -del file "C:\WINDOWS\system32\drivers\kungsfavbaprrs.sys" gmer.exe -del file "C:\WINDOWS\system32\kungsfvdnoxumo.dll" gmer.exe -del file "C:\WINDOWS\system32\kungsfdgwkmrde.dat" gmer.exe -del file "C:\WINDOWS\system32\kungsfvrqpkdlh.dll" gmer.exe -del file "C:\WINDOWS\system32\kungsfotltqlhc.dat" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kungsfhbgkvkft" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kungsfhbgkvkft" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kungsfhbgkvkft" gmer -reboot И запустите cleanup.bat Сделать новый лог gmer Цитата Ссылка на сообщение Поделиться на другие сайты
DrMOM 0 Опубликовано 7 июня, 2009 Автор Share Опубликовано 7 июня, 2009 Спасибо большое всем за участие! Дело в том, что комп. был не мой. И я был ограничен во времени. Всё-таки из-за нехватки времени пришлось переустановить систему. Но самое главное - теперь у нас с вами прибавилось немного опыта! Простите пожалуйста за то, что отнял у вас драгоценное время, если бы был мой комп. - постарался довести бы дело до конца! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.