Показано с 1 по 17 из 17.

Trojan.NetRoot.Kit (заявка № 11402)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61

    Thumbs up Trojan.NetRoot.Kit

    Добрый день,

    Никак не могу избавиться от распростараненной заразы под названием Trojan.NetRootKit.248 + BackDoor.BulkNet
    Антивирус Dr.Web 4.43 каждый раз удаляет эти вирусы, после перезагрузки они возникают снова.
    Зараженные файлы ip6wf и ksys из System32
    CureIT пробовал - не помогло.

    Буду признателен за помощь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    профиксите
    Код:
    O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
     QuarantineFile('C:\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\SystemRoot\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     BC_DeleteSvc('NDnet1');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_DeleteFile('C:\WINDOWS\csrss.exe');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('C:\SystemRoot\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\SystemRoot\system32\DRIVERS\Ip6Fw.sys');
     BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_ImportQuarantineList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи...
    Последний раз редактировалось V_Bond; 28.07.2007 в 14:11.

  4. #3
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61

    Trojn. NetRootKit

    Спасибо большое

    Выполнил все согласно инструкции
    После перезагрузки DrWeb ничего не нашел

    Карантин - в приложении
    Последний раз редактировалось drongo; 28.07.2007 в 23:59. Причина: Deleted, japanese policeman

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Gatto, уберите карантин из темы пришлите его согласно приложению 3 правил....
    и повторите все три лога пожалуйста....

  6. #5
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61
    Пардон, ерунду спорол

    Как его убрать из темы?

    Добавлено через 2 минуты
    Файл сохранён как070729_000008_virus_46aba048a6c81.zip
    Размер файла14473
    MD5222623e3a3e6f688c5928de8e3f2eec8
    Последний раз редактировалось Gatto; 29.07.2007 в 00:00. Причина: Добавлено сообщение

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    где повторные логи ?

  8. #7
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61
    Логи в приложении
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    не все убилось
    профиксите
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     end.
    повторите логи...

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     end.
    повторите логи AVZ ...
    Последний раз редактировалось V_Bond; 29.07.2007 в 23:22.

  11. #10
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61
    И еще раз
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61
    Не могу вложить остальное - ошибки загрузки

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Удалите старые логи и загрузите новые,должно получиться

  14. #13
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61
    Спасибо,

    вечером попробую.

  15. #14
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61
    И остальные логи.

    Вроде чисто
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах чисто ....рекомендуем прочитать http://security-advisory.newmail.ru/
    Вы можете нас отблагодарить http://www.virusinfo.info/showthread.php?t=3519 ....

  17. #16
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    9
    Вес репутации
    61
    Похоже добили заразу.
    Спасибо огромное за помощь!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
      2. c:\\windows\\system32\\ksys.sys - Rootkit.Win32.Agent.eb (DrWEB: Trojan.NtRootKit.24


  • Уважаемый(ая) Gatto, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 14.11.2010, 18:32
    2. Ответов: 14
      Последнее сообщение: 22.10.2010, 21:47
    3. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
      От v119 в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 15.03.2010, 13:56
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    5. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01044 seconds with 20 queries