Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] руткит services

Ответить
Настройки темы
[решено] руткит services

Ветеран


Сообщения: 641
Благодарности: 14

Профиль | Отправить PM | Цитировать


Изменения
Автор: seman
Дата: 28-12-2010
При установки флешки все папки на ней превращались в файлы с расширением exe.
гмер обнаружил руткит.
после проверки авз больше не появлялось красной строчки в гмере, однако запись присутствует, но не выделена красным.

проверьте логи плиз.

Отправлено: 23:23, 01-12-2010

 

Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\:services.exe');
QuarantineFile('c:\:services.exe','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
DeleteFile('c:\:services.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Сделайте повторные логи AVZ + подготовьте лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:59, 01-12-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 641
Благодарности: 14

Профиль | Отправить PM | Цитировать


новые логи

Последний раз редактировалось seman, 28-12-2010 в 20:09.


Отправлено: 19:33, 02-12-2010 | #3


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


По логам вижу запускался ComboFix, лог (C:\ComboFix.txt) прикрепите.

Проверьте файл C:\WINDOWS\Sbuninst.exe на www.virustotal.com и дайте ссылку с результатом проверки.

-------


Отправлено: 20:39, 02-12-2010 | #4


Ветеран


Сообщения: 641
Благодарности: 14

Профиль | Отправить PM | Цитировать


Цитата Fedin:
Проверьте файл C:\WINDOWS\Sbuninst.exe на www.virustotal.com и дайте ссылку с результатом проверки. »
http://www.virustotal.com/file-scan/...9da-1291314600

Цитата Fedin:
По логам вижу запускался ComboFix, лог (C:\ComboFix.txt) прикрепите. »

Последний раз редактировалось seman, 28-12-2010 в 20:09.


Отправлено: 21:32, 02-12-2010 | #5


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


Что с проблемой? По логам всё в порядке.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

-------


Отправлено: 22:18, 02-12-2010 | #6


Ветеран


Сообщения: 641
Благодарности: 14

Профиль | Отправить PM | Цитировать


Цитата Fedin:
Что с проблемой? По логам всё в порядке. »
все ок. спасибо

Отправлено: 07:27, 03-12-2010 | #7



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] руткит services

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Руткит igdes seman Лечение систем от вредоносных программ 7 10-09-2010 21:01
Помогите побороть руткит... uptk Лечение систем от вредоносных программ 1 31-03-2010 16:16
Руткит zongo Лечение систем от вредоносных программ 1 08-09-2009 11:47
Windows Deployment Services (WDS) [ex Remote Installation Services (RIS)] PIL123 Автоматическая установка Windows 2000/XP/2003 1 25-07-2008 14:18
Руткит активность ??? Barit Защита компьютерных систем 6 16-11-2007 02:53




 
Переход