При загрузке Windows 2000 AntiVir находит две гадости:
netdtect.sys - RKIT/Agent.DQ.31.A
runtime.sys - RKIT/Agent.dw.2
Пробовал удалять в безопаcном режиме, ничего не получается.
Никак не могу избавиться от rootkit'а
При загрузке Windows 2000 AntiVir находит две гадости:
netdtect.sys - RKIT/Agent.DQ.31.A
runtime.sys - RKIT/Agent.dw.2
Пробовал удалять в безопаcном режиме, ничего не получается.
Последний раз редактировалось vitulnik; 25.06.2007 в 17:00.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\Temp\startdrv.exe'); BC_DeleteFile('C:\WINNT\Temp\startdrv.exe'); BC_DeleteSvc('runtime2'); BC_DeleteFile('C:\WINNT\system32\drivers\runtime2.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2. Выполните еще один скрипт:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\System32\Drivers\U3sHlpDr.sys',''); QuarantineFile('C:\Program Files\Outlook Express\outl32l4.exe',''); QuarantineFile('C:\WINNT\isrvs\ffisearch.exe',''); BC_ImportQuarantineList; BC_QrSvc('U3sHlpDr'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Большое спасибо.
Карантин отправил.
Удачи, виктор.
C:\Program Files\Outlook Express\outl32l4.exe -
Scan taken on 06 Jun 2007 05:45:55 (GMT)
A-Squared Found Adware.ToolBar.ISearch.d
AntiVir Found ADSPY/ToolBar.ISearch.D
ArcaVir Found Trojan.Downloader.Sukaf
Avast Found Win32:Indown
AVG Antivirus Found Downloader.Generic.AJL
BitDefender Found Adware.Searchbar.M
ClamAV Found Trojan.Downloader.Small-314
Dr.Web Found Trojan.DownLoader.1296
F-Prot Antivirus Found W32/Downloader.CSS
F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.ISearch.d (4, 1, 400)
Fortinet Found W32/Isearch!tr
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.ISearch.d
NOD32 Found Win32/Adware.ISearch application
Norman Virus Control Found W32/SearchToolbar.C
Panda Antivirus Found nothing
Rising Antivirus Found Trojan.DL.Agent.bc
VirusBuster Found nothing
VBA32 Found AdWare.ToolBar.ISearch.d
Я извиняюсь за глупый впрос, а что Вы этим хотели сказать? Что практически любой антивирус что-то находит в этом файле?
ДаСообщение от vitulnik
Его можно удалить уже сейчас, насчёт остальных подождём вердикта вируслаба.
Выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Outlook Express\outl32l4.exe'); BC_DeleteFile('C:\Program Files\Outlook Express\outl32l4.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
U3sHlpDr.sys - чистый (по Вирустотал), ffisearch.exe в карантине нет.
Проблема себя еще проявляет?
Сделайте новые логи, может что-то еще выяснится.
I am not young enough to know everything...
ffisearch.exe поискать вручную по пункту 2 правил и прислать по правилам , подозреваю семейство v2.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Проблема вроде больше не появляется.
ffisearch.exe не нашел, а где его искать?
Еще раз спасибо.
ЗЫ На соседнем компьютере призагрузке выдается синий экран со ссылкой на ndis.sys
Загрузиться удается только в безопасном режиме без поддержки сети. Замена ndis на новый помогла ненадолго. Понятно что это вирус. Может есть стандартные средства или надо действовать по правилам? Просто на том компьютере даже флопа нет( непонятно как вам логи прислать.
А где вы его не нашли?ffisearch.exe не нашел, а где его искать?
AVZ - Сервис - Поиск файлов на диске.
Пофиксите строчку:
и сделайте для контроля логи п.10-13 правил.Код:O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
USB есть? - флэшка.на том компьютере даже флопа нет
Утилита для восстановления ndis.sys: Вложение 10580
В безопасном режиме запускаем утилиту, после этого ищем и удаляем в корне диска С файлы вида cp1041.nls (циферки могут быть другие).
I am not young enough to know everything...
Открою для этого случая отдельную ветку по правилам.А где вы его не нашли?
AVZ - Сервис - Поиск файлов на диске.
Нигде не нашел. Ни так: AVZ - Сервис - Поиск файлов на диске. Ни обычным поиском.
Пофиксите строчку:
и сделайте для контроля логи п.10-13 правил.Код:O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
Строчку пофиксил, хотя полагаю что это не было нужно. AVZ запускал, там все было чисто.
USB есть? - флэшка.
Утилита для восстановления ndis.sys: Вложение 10580
В безопасном режиме запускаем утилиту, после этого ищем и удаляем в корне диска С файлы вида cp1041.nls (циферки могут быть другие).
Последний раз редактировалось vitulnik; 25.06.2007 в 17:00.
Утилиту запустил, в корне С не было файлов вида cp1041.nls, все осталось по прежнему.
ЗЫ Новую тему по правилам создал.
Уважаемый(ая) vitulnik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
