|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] руткит services |
|
[решено] руткит services
|
Ветеран Сообщения: 641 |
При установки флешки все папки на ней превращались в файлы с расширением exe.
гмер обнаружил руткит. после проверки авз больше не появлялось красной строчки в гмере, однако запись присутствует, но не выделена красным. проверьте логи плиз. |
|
Отправлено: 23:23, 01-12-2010 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать • Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\:services.exe'); QuarantineFile('c:\:services.exe',''); QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); DeleteFile('C:\WINDOWS\system32\linkdel.cmd'); DeleteFile('c:\:services.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы Сделайте повторные логи AVZ + подготовьте лог RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Обновите Internet Explorer до восьмой версии Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows. |
------- Отправлено: 23:59, 01-12-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 641
|
Профиль | Отправить PM | Цитировать новые логи
|
Последний раз редактировалось seman, 28-12-2010 в 20:09. Отправлено: 19:33, 02-12-2010 | #3 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать По логам вижу запускался ComboFix, лог (C:\ComboFix.txt) прикрепите.
Проверьте файл C:\WINDOWS\Sbuninst.exe на www.virustotal.com и дайте ссылку с результатом проверки. |
------- Отправлено: 20:39, 02-12-2010 | #4 |
Ветеран Сообщения: 641
|
Профиль | Отправить PM | Цитировать Цитата Fedin:
Цитата Fedin:
|
|||
Последний раз редактировалось seman, 28-12-2010 в 20:09. Отправлено: 21:32, 02-12-2010 | #5 |
![]() Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Что с проблемой? По логам всё в порядке.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК" ![]() Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. |
------- Отправлено: 22:18, 02-12-2010 | #6 |
Ветеран Сообщения: 641
|
Профиль | Отправить PM | Цитировать Цитата Fedin:
|
|
Отправлено: 07:27, 03-12-2010 | #7 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] Руткит igdes | seman | Лечение систем от вредоносных программ | 7 | 10-09-2010 21:01 | |
Помогите побороть руткит... | uptk | Лечение систем от вредоносных программ | 1 | 31-03-2010 16:16 | |
Руткит | zongo | Лечение систем от вредоносных программ | 1 | 08-09-2009 11:47 | |
Windows Deployment Services (WDS) [ex Remote Installation Services (RIS)] | PIL123 | Автоматическая установка Windows 2000/XP/2003 | 1 | 25-07-2008 14:18 | |
Руткит активность ??? | Barit | Защита компьютерных систем | 6 | 16-11-2007 02:53 |
|