Помогите удалить РУТКИТ

Milena1903 · 29.05.2014, 16:10

Добрый день!
Avast (Free) обнаружил руткит. Предложенные удаление и перемещение в карантин - не спасают, при каждом запуске системы сообщение вновь появляется.
Пробовала обезвредить его программами :
1) RootkitBuster (выдал около 40 пункт, не решилась удалить все, так как не нашла путь, указанный Авастом)
2) Sophos Anti-Rootkit (нашел файлы, но в описании под всеми указал, что удаление не рекомендуется)
3) DrWedCureit (ничего не обнаружил)
4) MBAM (нашел ключ, который не рекомендовал к удалению и активатор windows - но он появился позже, проблема на тот моммент уже была)

Прошу, помогите избавиться от этой дряни!

P.S.ОС - Windows 7 Service Pack 1 x86

Сообщение Аваст - http://i-fotki.info/16/882781f09b9f9...21655.jpg.html

Лог uvs - http://gfile.ru/a8nl5

Лог avz4 - http://gfile.ru/a4Bt5

safety · 29.05.2014, 16:45

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH.US.COM/?GUID={560CDB3F-A33E-4C58-B6EA-0051D92FBC29}

; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске и заново создайте их
+
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Milena1903 · 29.05.2014, 17:35

Выполнила скрипт, деинсталляцию программ не просил.
Перезагрузила.
Удалила ярлык единственного браузера palemoon в быстром запуске. К слову, INTERNET EXPLORER вообще не пользую (почему он активно участвует в данной проблеме - загадка для меня)
Malwarebytes ничего не нашел. http://gfile.ru/a771W

К сожалению, после сканирования Аваст снова выдал угрозу.

safety · 29.05.2014, 17:38

этой утилиткой проверьте mbam anti - rootkit
http://downloads.malwarebytes.org/file/mbar

лог проверки добавьте на форум

Milena1903 · 29.05.2014, 19:24

Лог - http://gfile.ru/a784N

Удаление не помогло. Аваст вновь ругается.

safety · 29.05.2014, 19:37

Скачайте, распакуйте и запустите TDSSKiller:

http://media.kaspersky.com/utilities...tdsskiller.exe
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

Milena1903 · 29.05.2014, 19:53

Угроз не обнаружено.
Лог - http://gfile.ru/a5rfh

safety · 29.05.2014, 19:55

20:52:10.0090 0x0a84 ================================================== ==========
20:52:10.0090 0x0a84 Scan finished
20:52:10.0090 0x0a84 ================================================== ==========
20:52:10.0110 0x0158 Detected object count: 0
20:52:10.0110 0x0158 Actual detected object count: 0
20:53:12.0798 0x0f4c Deinitialize success
-----------
скорее всего нет руткита.

safety · 29.05.2014, 19:59

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
breg

sreg

delref %Sys32%\DRIVERS\OEM-DRV86.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
----------

Milena1903 · 29.05.2014, 21:15

Помогло. Огромное Вам спасибо за помощь!

safety · 29.05.2014, 21:18

далее,

закрываем уязвимости

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

------------

29.05.2014, 16:10	#1 (ссылка)
Milena1903 Новичок Регистрация: 29.05.2014 Сообщений: 5 Репутация: 0	Помогите удалить РУТКИТ Добрый день! Avast (Free) обнаружил руткит. Предложенные удаление и перемещение в карантин - не спасают, при каждом запуске системы сообщение вновь появляется. Пробовала обезвредить его программами : 1) RootkitBuster (выдал около 40 пункт, не решилась удалить все, так как не нашла путь, указанный Авастом) 2) Sophos Anti-Rootkit (нашел файлы, но в описании под всеми указал, что удаление не рекомендуется) 3) DrWedCureit (ничего не обнаружил) 4) MBAM (нашел ключ, который не рекомендовал к удалению и активатор windows - но он появился позже, проблема на тот моммент уже была) Прошу, помогите избавиться от этой дряни! P.S.ОС - Windows 7 Service Pack 1 x86 Сообщение Аваст - http://i-fotki.info/16/882781f09b9f9...21655.jpg.html Лог uvs - http://gfile.ru/a8nl5 Лог avz4 - http://gfile.ru/a4Bt5

29.05.2014, 16:45	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SEARCH.US.COM/?GUID={560CDB3F-A33E-4C58-B6EA-0051D92FBC29} ; OpenAL exec C:\Program Files\OpenAL\oalinst.exe" /U deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. + удалите все ярлыки браузеров на рабочем столе и в быстром запуске и заново создайте их + ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes

29.05.2014, 19:59	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE breg sreg delref %Sys32%\DRIVERS\OEM-DRV86.SYS areg перезагрузка, пишем о старых и новых проблемах. ----------

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Подозрение на руткит	gvedas	Безопасность	11	04.02.2013 23:03
Похоже руткит! Спасите!	SkyZ	Безопасность	2	18.08.2011 14:45
руткит	Schturmfogel	Безопасность	6	15.03.2011 17:55
аваст-руткит-новое устройство-пожалуйста, помогите!	225 andrei	Безопасность	30	17.08.2010 13:49
Удалил ли Avast руткит?	elvie	Безопасность	27	02.05.2010 19:03

29.05.2014, 17:35	#3 (ссылка)
Milena1903 Новичок Регистрация: 29.05.2014 Сообщений: 5 Репутация: 0	Выполнила скрипт, деинсталляцию программ не просил. Перезагрузила. Удалила ярлык единственного браузера palemoon в быстром запуске. К слову, INTERNET EXPLORER вообще не пользую (почему он активно участвует в данной проблеме - загадка для меня) Malwarebytes ничего не нашел. http://gfile.ru/a771W К сожалению, после сканирования Аваст снова выдал угрозу.

29.05.2014, 17:38	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	этой утилиткой проверьте mbam anti - rootkit http://downloads.malwarebytes.org/file/mbar лог проверки добавьте на форум

29.05.2014, 19:24	#5 (ссылка)
Milena1903 Новичок Регистрация: 29.05.2014 Сообщений: 5 Репутация: 0	Лог - http://gfile.ru/a784N Удаление не помогло. Аваст вновь ругается.

29.05.2014, 19:37	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Скачайте, распакуйте и запустите TDSSKiller: http://media.kaspersky.com/utilities...tdsskiller.exe Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его. Файл C:\TDSSKiller.*_log.txt приложите в теме. (где * - версия программы, дата и время запуска.

29.05.2014, 19:53	#7 (ссылка)
Milena1903 Новичок Регистрация: 29.05.2014 Сообщений: 5 Репутация: 0	Угроз не обнаружено. Лог - http://gfile.ru/a5rfh

29.05.2014, 19:55	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	20:52:10.0090 0x0a84 ================================================== ========== 20:52:10.0090 0x0a84 Scan finished 20:52:10.0090 0x0a84 ================================================== ========== 20:52:10.0110 0x0158 Detected object count: 0 20:52:10.0110 0x0158 Actual detected object count: 0 20:53:12.0798 0x0f4c Deinitialize success ----------- скорее всего нет руткита.

29.05.2014, 21:15	#10 (ссылка)
Milena1903 Новичок Регистрация: 29.05.2014 Сообщений: 5 Репутация: 0	Помогло. Огромное Вам спасибо за помощь!

29.05.2014, 21:18	#11 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	далее, закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. ------------

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads