Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Руткит igdes (http://forum.oszone.net/showthread.php?t=184964)

seman 08-09-2010 19:50 1491272
Руткит igdes
 
После лечения от КИДО, авз нашел руткит.
система малость притормаживает

Drongo 08-09-2010 20:23 1491293
seman, Да, есть такое.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('RTM01DRV', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\rtm01drv.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\rtm01drv.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('RTM01DRV');
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ на адрес , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Затем загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

seman 08-09-2010 20:26 1491294
Drongo,
лог гмера прикрепил в первом сообщении

Drongo 08-09-2010 20:30 1491298
Цитата:
Цитата seman
лог гмера прикрепил в первом сообщении »
Так быстро? :) Похвально.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится lsksotp6.exe случайное имя утилиты (gmer)
Код:
lsksotp6.exe -del service igdes
lsksotp6.exe -del file "C:\WINDOWS\system32\cftydp.dll"
lsksotp6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\igdes"
lsksotp6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\igdes"
lsksotp6.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

seman 08-09-2010 21:56 1491344
Цитата:
Цитата Drongo
Сделайте новый лог gmer. »

Arbitr 08-09-2010 22:07 1491347
все прекрасно))
осталось для контроля сделать нам логи RSIT
и
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

seman 10-09-2010 20:08 1492702
спасибо. сейчас комп нормально работает.

Drongo 10-09-2010 21:01 1492726
seman, Ну что, это радует. Чистого интернета. :)


Время: 21:01.

Время: 21:01.
© OSzone.net 2001-