Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Касперский антивирус выявил rootkit.Win32.Podnuha.byb, не могу удалить (http://forum.oszone.net/showthread.php?t=139110)

starling 01-05-2009 19:38 1108703
Касперский антивирус выявил rootkit.Win32.Podnuha.byb, не могу удалить
 
Вложений: 1
Касперский антивирус выявил rootkit.Win32.Podnuha.byb, не могу удалить. Файл расположен в c:\windows\system32\cc3250m.dll

thyrex 02-05-2009 12:48 1109070
C:\WINDOWS\system32\Drivers\lqxfvtgw.sys, C:\WINDOWS\system32\Cc3250m.dll проверьте на virustotal Ссылки на результат проверки сообщите

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

starling 06-05-2009 13:09 1111984
Вложений: 1
Ссылки по итогам проверки
(Файл lqxfvtgw.sys) http://www.virustotal.com/ru/analisi...84ff63476c3ff0
(Файл Cc3250m.dll) http://www.virustotal.com/ru/analisi...8e150289290780

Котяра 06-05-2009 13:25 1111996
Цитата:
Цитата starling
lqxfvtgw.sys »
Отправьте на newvirus@kaspersky.com в теме письма напишите "Подозрительный файл", в тексте, например, "Скажите, вирус ли это."

thyrex 06-05-2009 13:33 1112003
Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Network Driver Interface', 4);
 QuarantineFile('C:\WINDOWS\system32\Cc3250m.dll','');
 QuarantineFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\lqxfvtgw.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\lqxfvtgw.sys');
 DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\Cc3250m.dll');
 DelBHO('{666ADA59-1460-4874-B939-DA7392915AA5}');
 DeleteService('Network Driver Interface');
 DeleteFileMask('%Tmp%', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Network Driver Interface');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by. В письме укажите ссылку на тему.

Сделайте новые логи


Время: 14:14.

Время: 14:14.
© OSzone.net 2001-