0 / 0 / 0
Регистрация: 06.02.2015
Сообщений: 91
1

Аваст определил руткит

12.02.2015, 16:36. Показов 2231. Ответов 14
Метки нет (Все метки)

Помогите удалить рута. Аваст хочет но не может, при удалении вируса переходит в режим сканирования при загрузке и на одном файле висит пол часа дольше не стали ждать, дрвебом просканировал - нашел кучу всего но то что нужно не удалил, хелп плиз.
Вложения
Тип файла: zip CollectionLog-2015.02.12-15.22.zip (127.8 Кб, 4 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
12.02.2015, 16:36
Ответы с готовыми решениями:

Правильно ли я определил неисправность?
Всем задрасти ! Вопрос : купил в Одессе 2 вебки, все показывают черный экран. Назад брать не хотят....

Подскажите правильно ли я определил
Дано задание: Для заданных IP-адресов классов А, В и С и предложенных масок определить: - класс...

Вылечить руткит
Такая ситуация. Был получен серьезный вирус руткит/буткит (?). Сканирование антивирусами, сбор...

Руткит uefi
Установил dfx audio для улучшения звука в aimp. Nod промолчал, но потом решил проверить на...

14
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,440
12.02.2015, 17:42 2
Внимание! Рекомендации написаны специально для пользователя add-speed. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
__________________________________________________ ____

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
    etranslator
    IGS
    igsc
    sCloudStatusCheck
    surf slide
    sweet-page uninstall
    test version 1.5
    Time tasks
    WinCheck
  2. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.arepo.bat', '');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat', '');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat', '');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat', '');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat', '');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.arepo.bat', '32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat', '32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat', '32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat', '32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat', '32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  4. Подготовьте лог сканирования AdwCleaner.

Добавлено через 8 минут
5. Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
1
0 / 0 / 0
Регистрация: 06.02.2015
Сообщений: 91
13.02.2015, 10:56  [ТС] 3
вроде ничего не забыл
Вложения
Тип файла: txt AdwCleaner[R0].txt (7.3 Кб, 3 просмотров)
Тип файла: log ClearLNK-13.02.2015_09-54.log (5.4 Кб, 2 просмотров)
0
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,440
13.02.2015, 11:00 4
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.


Подготовьте лог uVS.
0
0 / 0 / 0
Регистрация: 06.02.2015
Сообщений: 91
13.02.2015, 11:11  [ТС] 5
там два файла создалось
Вложения
Тип файла: txt AdwCleaner[R1].txt (7.4 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[S0].txt (8.3 Кб, 2 просмотров)
0
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,440
13.02.2015, 11:49 6
Еще это, пожалуйста:
Цитата Сообщение от Sandor Посмотреть сообщение
Подготовьте лог uVS.
0
0 / 0 / 0
Регистрация: 06.02.2015
Сообщений: 91
16.02.2015, 12:49  [ТС] 7
Сори что так долго вот лог.
Вложения
Тип файла: 7z BUH-TEMP_2015-02-16_11-35-34.7z (359.4 Кб, 3 просмотров)
0
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,440
16.02.2015, 13:00 8
Выполните скрипт в UVS.
Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
BREG
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
delref HTTP://1KANAL.ORG/?SRC=HP1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\VOPACKAGE\JOSRV.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NEWSI_23\S_INST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NEWSI_21590\S_INST.EXE
; Java(TM) 6 Update 21
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216021FF} /quiet
regt 28
regt 29
restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.


Повторите лог uVS.
0
0 / 0 / 0
Регистрация: 06.02.2015
Сообщений: 91
16.02.2015, 14:47  [ТС] 9
есть
Вложения
Тип файла: 7z BUH-TEMP_2015-02-16_13-41-15.7z (354.5 Кб, 5 просмотров)
0
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,440
16.02.2015, 14:58 10
Что с проблемой?
0
Особый статус
Эксперт WindowsВирусоборец
8425 / 1704 / 87
Регистрация: 15.04.2011
Сообщений: 5,515
16.02.2015, 19:57 11
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код
    ;uVS v3.85.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    breg
    sreg
    zoo %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
    addsgn 79132211B982F18DF42BF3584246EDFAE946601689FA1F7885C3C5BC50D689AA2317D3D73E5511A92B80849F461649FA7DDFBA9555DAB0AC2D77A42FC7062273 64 Baidu
    delvir
    deltmp
    czoo
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.
1
0 / 0 / 0
Регистрация: 06.02.2015
Сообщений: 91
17.02.2015, 10:35  [ТС] 12
Отправил, но при выполнении скрипта выдало ошибку записи в реестр, комп не перезагрузился.
0
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,440
17.02.2015, 10:43 13
Цитата Сообщение от Sandor Посмотреть сообщение
Что с проблемой?
???
0
0 / 0 / 0
Регистрация: 06.02.2015
Сообщений: 91
17.02.2015, 11:34  [ТС] 14
аваст молчит
0
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,440
17.02.2015, 11:34 15
Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.


Рекомендации после удаления вредоносного ПО
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
17.02.2015, 11:34
Помогаю со студенческими работами здесь

Подозрение на руткит
Всех приветствую! В общем играюсь на одной платформе, использующей античит, который с недавнего...

Обнаружен руткит!
Пожалуйста помогите удалить руткит. На компьютере стоит avast, очень часто выдает, что обнаружен...

Простейший руткит?
Приветствую. Прокралась в голову шальная мысль. В новых версиях Линукс не позволено даже под рутом...

Virustotal определил вредоносный код
Приветствую. Один мой дружище для учебы попросил создать форму, содержание который вы сможете...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru