Войти

Показать полную графическую версию : Касперский антивирус выявил rootkit.Win32.Podnuha.byb, не могу удалить

starling
01-05-2009, 19:38
Касперский антивирус выявил rootkit.Win32.Podnuha.byb, не могу удалить. Файл расположен в c:\windows\system32\cc3250m.dll
thyrex
02-05-2009, 12:48
C:\WINDOWS\system32\Drivers\lqxfvtgw.sys, C:\WINDOWS\system32\Cc3250m.dll проверьте на virustotal (http://www.virustotal.com/ru) Ссылки на результат проверки сообщите

Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
starling
06-05-2009, 13:09
Ссылки по итогам проверки
(Файл lqxfvtgw.sys) http://www.virustotal.com/ru/analisis/e4296f81c042b8d94884ff63476c3ff0
(Файл Cc3250m.dll) http://www.virustotal.com/ru/analisis/3301abe1495c356be38e150289290780
Котяра
06-05-2009, 13:25
lqxfvtgw.sys »
Отправьте на newvirus@kaspersky.com в теме письма напишите "Подозрительный файл", в тексте, например, "Скажите, вирус ли это."
thyrex
06-05-2009, 13:33
Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Network Driver Interface', 4);
QuarantineFile('C:\WINDOWS\system32\Cc3250m.dll','');
QuarantineFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\lqxfvtgw.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\lqxfvtgw.sys');
DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('C:\WINDOWS\system32\Cc3250m.dll');
DelBHO('{666ADA59-1460-4874-B939-DA7392915AA5}');
DeleteService('Network Driver Interface');
DeleteFileMask('%Tmp%', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Network Driver Interface');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by. В письме укажите ссылку на тему.

Сделайте новые логи



© OSzone.net 2001-2012