Показано с 1 по 15 из 15.

RootKit.Win32.Agent (заявка № 11805)

  1. #1
    Junior Member Репутация
    Регистрация
    19.08.2007
    Сообщений
    8
    Вес репутации
    34

    Thumbs up RootKit.Win32.Agent

    заранее спасибо за помощь.



    после лечения были удалены файлы "runtime2.sys" "netdetect.sys"

    несмотря на то что вредного по больше не обнаружено, после кадой перезагрузки все время образуются новые файлы вирусы в папке temp.


    следует конечно сказать, что на исполнила до конца все перечисленные правила - на нашла где отключить восстановление системных файлов в винд 2000 проф.


    еще раз спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    вот цитата из правил...
    Код:
    Приложение 1. Как отключить восстановление системы.
    Windows Me:
    Пуск > Hастpойки > Панель управления (Start > Programs > Accessories > Windows Explorer). 
    Двойной клик на иконке "Система" (System).(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели управления" (View all Control Panel options))
    Hа вкладке "Быстpодействие" (Performance) нажать кнопку "Файловая система" (File System).
    Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
    "Запpетить восстановление системных файлов" (Disable System Restore).
    Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\rpcc.dll','');
     QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
     DeleteFile('C:\WINNT\Temp\startdrv.exe');
     DeleteFile('C:\WINNT\system32\rpcc.dll');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.*');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
    O2 - BHO: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
    O3 - Toolbar: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
    O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
    O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll (file missing)
    Если в карантин что-то попадет, пришлите согласно приложению 3 правил.
    Сделайте новые логи.
    Обратите внимание: прикреплять virusinfo_syscure.zip а не virusinfo_cure.zip .
    У вас компьютер в локальной сети или нет?
    Последний раз редактировалось Bratez; 19.08.2007 в 11:35.
    I am not young enough to know everything...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от belokurova Посмотреть сообщение
    где отключить восстановление системных файлов в винд 2000 проф.
    а нигде: в Вин2К нет этой функции . Об этом и в правилах написано:
    7. Отключите восстановление системы (Windows Me/XP).

  6. #5
    Junior Member Репутация
    Регистрация
    19.08.2007
    Сообщений
    8
    Вес репутации
    34
    спасибо за ответ!

    все сделала, только одна заминка произошла, в HijackThis не нашла строки: O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe

    честно пол часа подробно все просмотрела, не было ее там.

    в темр все еще находит подозрения, сохранила по приложению три и загрузила: 070819_134203_virus_46c810823275c.zip

    извините, если не все понимаю и делаю правильно, еще раз благодарю за помощь!
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Очистите вручную папку
    C:\Documents and Settings\Администратор\Local Settings\Temp\
    (Local Settings - скрытая)

    Потом перезагрузитесь и посмотрите, не появились ли там файлы с расширением .exe .
    I am not young enough to know everything...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Bratez Посмотреть сообщение
    Очистите вручную папку
    C:\Documents and Settings\Администратор\Local Settings\Temp\
    (Local Settings - скрытая)
    а лучше всего - все темп-папки, и не обязательно вручную: http://virusinfo.info/showthread.php?t=10025
    SCNR

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Дополнение:
    Я не случайно спрашивал, используете ли вы локальную сеть. У вас запущено множество системных служб, из них значительную часть можно и нужно отключить, особенно если нет локалки. И еще для подчистки "мусора" выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('WINEVENT');
    BC_DeleteSvc('WINLOGON');
    BC_Activate;
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    19.08.2007
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от Bratez Посмотреть сообщение
    Очистите вручную папку
    C:\Documents and Settings\Администратор\Local Settings\Temp\
    (Local Settings - скрытая)

    Потом перезагрузитесь и посмотрите, не появились ли там файлы с расширением .exe .

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    а лучше всего - все темп-папки, и не обязательно вручную: http://virusinfo.info/showthread.php?t=10025
    SCNR
    огромное спасибо!) использовала все советы) все теперь вроде хорошо!)

    Добавлено через 2 минуты

    Цитата Сообщение от Bratez Посмотреть сообщение
    Дополнение:
    Я не случайно спрашивал, используете ли вы локальную сеть. У вас запущено множество системных служб, из них значительную часть можно и нужно отключить, особенно если нет локалки. И еще для подчистки "мусора" выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('WINEVENT');
    BC_DeleteSvc('WINLOGON');
    BC_Activate;
    RebootWindows(true);
    end.

    комп не в сети. честно говоря, верю что там многое можно отключить, но..) для этого наверно стоит разобраться в них, будем учиться)

    огромное спасибо еще раз!)
    Последний раз редактировалось belokurova; 19.08.2007 в 14:42. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от belokurova Посмотреть сообщение
    огромное спасибо!) использовала все советы)
    дополнительный скрипт от Brateza (Сегодня 12:25) не забыли?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Я бы отключил вот эти:
    Код:
    O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
    O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
    O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
    O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
    O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    I am not young enough to know everything...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  14. #13
    Junior Member Репутация
    Регистрация
    19.08.2007
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    дополнительный скрипт от Brateza (Сегодня 12:25) не забыли?
    не забыла!) я бесприкословно все выполняю!)))

    Добавлено через 1 минуту

    Цитата Сообщение от Bratez Посмотреть сообщение
    Я бы отключил вот эти:
    Код:
    O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - C:\WINNT\system32\faxsvc.exe
    O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINNT\system32\mnmsrvc.exe
    O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINNT\system32\netdde.exe
    O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - C:\WINNT\system32\lsass.exe
    O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - C:\WINNT\system32\MSTask.exe
    O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - C:\WINNT\system32\services.exe
    если я правильно понимаю это можно сделать с помощью HijackThis?

    Добавлено через 5 минут

    Цитата Сообщение от Muzzle Посмотреть сообщение
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

    спасибо и Вам за советы! пользуюсь надстройкой IE Avanta, понимаю что это не то чтобы другой браузер, но для меня наиболее удобный на сегодняшний день. насчет отключения скрпитов уже поняла, сделаю в пределах возможного.

    Файлики обязательно загруду в базу!
    Последний раз редактировалось belokurova; 19.08.2007 в 15:06. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от belokurova Посмотреть сообщение
    если я правильно понимаю это можно сделать с помощью HijackThis?
    нет, лучше так : http://www.computerra.ru/gid/rtfm/system/34900/

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,540
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\local settings\\temp\\154802.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
      2. c:\\documents and settings\\администратор\\local settings\\temp\\157436.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
      3. c:\\documents and settings\\администратор\\local settings\\temp\\164286.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
      4. c:\\documents and settings\\администратор\\local settings\\temp\\176834.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)


  • Уважаемый(ая) belokurova, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    5. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00525 seconds with 24 queries