Junior Member
Вес репутации
61
Trojan.NetRoot.Kit
Добрый день,
Никак не могу избавиться от распростараненной заразы под названием Trojan.NetRootKit.248 + BackDoor.BulkNet
Антивирус Dr.Web 4.43 каждый раз удаляет эти вирусы, после перезагрузки они возникают снова.
Зараженные файлы ip6wf и ksys из System32
CureIT пробовал - не помогло.
Буду признателен за помощь
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
профиксите
Код:
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\SystemRoot\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи...
Последний раз редактировалось V_Bond; 28.07.2007 в 14:11 .
Junior Member
Вес репутации
61
Trojn. NetRootKit
Спасибо большое
Выполнил все согласно инструкции
После перезагрузки DrWeb ничего не нашел
Карантин - в приложении
Последний раз редактировалось drongo; 28.07.2007 в 23:59 .
Причина: Deleted, japanese policeman
Gatto , уберите карантин из темы пришлите его согласно приложению 3 правил....
и повторите все три лога пожалуйста....
Junior Member
Вес репутации
61
Пардон, ерунду спорол
Как его убрать из темы?
Добавлено через 2 минуты
Файл сохранён как070729_000008_virus_46aba048a6c81.zip
Размер файла14473
MD5222623e3a3e6f688c5928de8e3f2eec8
Последний раз редактировалось Gatto; 29.07.2007 в 00:00 .
Причина: Добавлено сообщение
Junior Member
Вес репутации
61
Вложения
не все убилось
профиксите
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи...
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи AVZ ...
Последний раз редактировалось V_Bond; 29.07.2007 в 23:22 .
Junior Member
Вес репутации
61
Вложения
Junior Member
Вес репутации
61
Не могу вложить остальное - ошибки загрузки
Удалите старые логи и загрузите новые,должно получиться
Junior Member
Вес репутации
61
Спасибо,
вечером попробую.
Junior Member
Вес репутации
61
И остальные логи.
Вроде чисто
Вложения
Junior Member
Вес репутации
61
Похоже добили заразу.
Спасибо огромное за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 28 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319) c:\\windows\\system32\\ksys.sys - Rootkit.Win32.Agent.eb (DrWEB: Trojan.NtRootKit.24