Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] rootkit wnzax (http://forum.oszone.net/showthread.php?t=182458)

seman 08-08-2010 22:36 1469609
rootkit wnzax
 
всем привет!
комп функционировал несколько лет без антивируса.
прошелся касперским, удалил все, что удалось удалить.
авз и гмер находит 1 руткита.

Arbitr 08-08-2010 22:58 1469625
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service wnzax
gmer.exe -del file "C:\WINDOWS\system32\yptxc.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wnzax"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wnzax"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Arbitr 08-08-2010 23:19 1469633
и еще сначала скачайте ATFCleaner и очистите временные файлы http://download.cnet.com/ATF-Cleaner...2_4-89432.html

Drongo 09-08-2010 12:29 1469931
+ к совету Arbitr, выполните такой скрипт

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\temp\mc21.tmp','');
 QuarantineFile('c:\windows\svchost.exe','');
 DeleteFile('c:\temp\mc21.tmp');
 DeleteFile('c:\windows\svchost.exe');
 DeleteService('powermanager');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Повторите логи AVZ + Gmer

seman 12-08-2010 18:13 1472331
помимо вышеперечисленных скриптов, удалил в реестр в ветке svchost службу wnzax.
что-то авз выделяет красным explorer.exe - может работать с сетью

Drongo 12-08-2010 20:41 1472437
seman, Выполните ещё раз скрипт предварительно отключив восстановление системы
Код:
Восстановление системы: включено
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\temp\mc21.tmp','');
 DeleteFile('c:\temp\mc21.tmp');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('c:\temp\mc21.tmp');
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Цитата:
Цитата seman
что-то авз выделяет красным explorer.exe - может работать с сетью »
Обновите базы и повторите логи

seman 13-08-2010 18:49 1473109
логи

icotonev 13-08-2010 19:21 1473123
Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
Код:

Files to delete:
C:\Temp\mc21.tmp
Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.

Нажмите Execute и подтвердите, нажав Yes

Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.


Скопируйте и вставьте содержимое файла c:\avenger.txt в следующее сообщение.


Код:
Внимание !!! База поcледний раз обновлялась 12.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Повторите логи с АВЗ....!

seman 14-08-2010 16:44 1473639
Цитата:
Цитата icotonev
C:\Temp\mc21.tmp »
этого файла нет среди скрытых и среди нескрытых в этой папке

Drongo 14-08-2010 17:21 1473662
seman, Нормально. Что с проблемами?

seman 14-08-2010 21:51 1473807
Drongo,
все отлично.спасибо.


Время: 22:39.

Время: 22:39.
© OSzone.net 2001-