Продолжение следует. Техподержка DR Web посоветовала исcледовать компьютер на наличие руткита. Скачал утилиту Gmer (http://www2.gmer.net/gmer.zip ). При запуске Gmer тут же обнаружил скрытый (hidden) сервис:
C:\WINDOWS\system32\drivers\hjgruibsiyuske.sys
Да еще скрытый файл:
C:\WINDOWS\system32\sdra64.exe
Очень полезная программка Gmer. Все подозрительные файлы выделяются красным цветом.
Сначала я попробывал удалить сервис hjgruibsiyuske.sys и процесс sdra64.exe. sdra64.exe удалился, а вот сервис все еще загружался в память. Тогда попробывал сделать этому сервису не "delete", а "disable". Перезагружаюсь Gmer показывает,что сервис заблокирован. Ну уж после этого иду в закладку "file" и ищу все файлы относящиеся к этому сервису. Кстати сначала я просканировал Gmer и создал лог файл, по нему и искал эти файлы. Теперь они кстати не были скрытыми. На всякий случай напишу где лежали:
C:\WINDOWS\system32\drivers\hjgruibsiyuske.sys
C:\WINDOWS\system32\hjgruijfmqsdml.dll
C:\WINDOWS\system32\hjgruimansvrqo.dat
C:\WINDOWS\system32\hjgruiswmxqxkb.dll
C:\WINDOWS\system32\hjgruiwbwqvlct.dat
C:\WINDOWS\system32\lowsec
Удаляю все.
Затем запускаю regedit и ищу по ключу "hjg" в реестре.
Нахожу в имене раздела Services сервис "Hjgruitfhmtwri". Сиавлю себе разрешения на эту ветку и удаляю ее. После того как расправился с руткитом запустился Dr Web Guard. Вот так решалась эта задача. Кстати DR web Live CD не нашел эту заразу.
Комментариев нет:
Отправить комментарий