Показано с 1 по 15 из 15.

модифицированный Win32/Rootkit.Agent.DP троян (заявка № 10146)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2007
    Сообщений
    45
    Вес репутации
    62

    Thumbs up модифицированный Win32/Rootkit.Agent.DP троян

    Проблемы как таковой пока нет, если не считать, что постоянно антивирусы находят вышеупомянутый троян, а также перехватчик типа runtime22.sys.
    Помогите избавиться.
    Вложения Вложения
    Последний раз редактировалось Макcим; 03.06.2007 в 13:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка-\d_v_t.reg','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     DeleteFile('C:\WINDOWSC:\WINDOWS\System32\drivers\runtime.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2007
    Сообщений
    45
    Вес репутации
    62
    Прошу простить)) но какой все-таки из двух приведенных скриптов мне выполнить?))

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Мой (тот который первый).

  6. #5
    Junior Member Репутация
    Регистрация
    03.06.2007
    Сообщений
    45
    Вес репутации
    62
    QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка-\d_v_t.reg','');

    По поводу вот этого. Его точно нужно в каратин? Это ключик к продлению лицензии от Нод32.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Это ключик к продлению лицензии от Нод32.
    Ну выкиньте эту строчку из скрипта.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    03.06.2007
    Сообщений
    45
    Вес репутации
    62
    Все сделал. Файлы выслал

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    runtime2.sys - Rootkit.Win32.Agent.ey
    Ip6Fw.sys - Rootkit.Win32.Agent.dp
    Два сапога - пара!

    Выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('Ip6Fw');
    BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    И сделайте новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    03.06.2007
    Сообщений
    45
    Вес репутации
    62
    Почистил)) Правда логи сделаны еще до последнего скрипта)) Потому как чуть опоздал)) Но думаю, что и они уже чистые.

    Хм. Почему-то не могу добавить остальные два(
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Правда логи сделаны еще до последнего скрипта
    Ну если не сложно, сделайте снова, надо убедиться, что результат достигнут. Если файлы не прикрепляются, можно старые логи удалить.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    03.06.2007
    Сообщений
    45
    Вес репутации
    62
    Сделано)
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отлично. Теперь действительно чисто
    I am not young enough to know everything...

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  15. #14
    Junior Member Репутация
    Регистрация
    03.06.2007
    Сообщений
    45
    Вес репутации
    62
    Спасибо огромное)))

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
      2. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)


  • Уважаемый(ая) Pastor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Модифицированный WIN32/Rootkit.Agent.NSY троян
      От mmaeka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.03.2010, 09:02
    2. Модифицированный троян Win32/Rootkit.Agent.NSF
      От Lexlyubezny в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.01.2010, 16:05
    3. Троян Win32/Rootkit.Agent.ODG
      От rareman в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.06.2009, 14:12
    4. Win32/Rootkit.Agent.HSE троян
      От budem в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.03.2009, 13:02
    5. Win32/Rootkit.Agent.NIJ троян
      От Mora в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.03.2009, 14:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00066 seconds with 20 queries