norton находит deflib.sys (вирус hacktool.rootkit - по нортону)Trojan.Win32.Agent.asu - касперский
Система: Windows XP SP2 (англ.) с критическими обновлениями вплоть до 27-авг-2007г. включительно. Компьютер: нотбук Acer Aspire 5570Z (если важно.) Norton Antivirus 2005 (firewall windows заменен на нортоновский).
Norton Antivirus 2005 (renewal date: 01.09.2007) находит C:\WINDOWS\system32\DefLib.sys как вирус Hacktool.Rootkit, удаляет, но после перезагрузки, файл появляется заново.
Проверил файл по ссылке: http://www.kaspersky.ru/scanforvirus
написал, что есть вирус Trojan.Win32.Agent.asu
Когда нортон включен сразу после загрузки компа через пару секунд начинается посылаться какие-то письма куда-то (нортон сканирует какие-то исходящие письма): при этом я сразу выключаю сеть, причем эти письма посылаются и при удаленном этом файле (deflib.sys).
Сделал все как расписано в инструкции тут: http://virusinfo.info/showthread.php?t=1235
Причем DrWeb-CureIt! в безопасном режиме нашел только вирус Trojan.NTRootkit.361 в файле C:\windows\system32\drivers\protect.sys и удалил его. После перезагрузки этот файл снова появился, который Norton как вирус не распознает.
Выкладываю virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log.
Помогите, пожалуйста, избавиться от Trojan.Win32.Agent.asu.
Хотелось бы знать также, что этот троян делает, какие действия: ворует пароли или что еще?
Суважением, Гурген
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо, сделал, как сказано:
отключил восстановление системы и все программы, включая антивирус.
1) выполнил скрипт
2) "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", потом перезагрузился
3) "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
4) профиксил O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe и перезагрузился
Потом снова запустил hijackthis смотрю этот msvcrt.exe еще сидит там
сделал фикс как описано тут: http://virusinfo.info/showthread.php?t=4491
Delete an NT servise - пишет, что такого сервиса нету.
Потом зашел в безопасном режиме, снова проверил DrWeb-CureIt!-ом, опять пишет сообщение, что найден вирус Trojan.NTRootkit.361 в файле C:\windows\system32\drivers\protect.sys Потом DrWeb его удалил, перезагрузился, снова этот файл сидит.
Кстати не удалился и файл cpwmon2k.dll. Нортон эти файлы, как вирусы не распознает.
Проверил через http://www.kaspersky.ru/scanforvirus эти два файла, отписался, что все чисто.
Проверил через http://www.drweb.ru/scan/ эти два файла. По файлу protect.sys пишет, что есть вирус Trojan.NTRootkit.361. По файлу cpwmon2k.dll все чисто.
Вроде никаких писем больше не отсылает, DefLib.sys исчез, а locals~1\temp\winlogon.exe' нету в списке стартапа. Потом проверил windows norton-ом, ничего не обнаружил.
Спасибо большое.
На всякий случай, выкладываю новые логи:
Последний раз редактировалось Gurgen; 02.09.2007 в 20:11.
Причина: новая информация
выложил карантин (4 файла).
Выкладываю также: C:\WINDOWS\system32\cpwmon2k.dll
заархивированном виде с password-ом virus.
Файл C:\WINDOWS\system32\svchost.exe:ext.exe не смог добавить в архив, пишет используется.
Последний раз редактировалось Alex_Goodwin; 02.09.2007 в 20:57.
Цитата:
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
Повторил все до фикса.
023 - Servise: FCI - И так далее, а также svchost.exe:ext.exe в списках Jacka нету уже. Они пропали после проделывания последнего скрипта.
Посылаю новый карантин, там добавились 2 файла.
Вроде все нормально.
Меня одно настораживает только, этот файл C:\WINDOWS\system32\drivers\protect.sys
Во-первых, DrWeb-CureIt! распознает его как вирус Trojan.NTRootkit.361, про которого ничего не нарыл в инете.
Он этот файл находит, пишет, что заражен, удаляет, делаю рестарт, этот файл снова появляется. Кстати, он единственный в папке drivers, который hidden.
А, так, и в процессах щас ничего подозрительного не нахожу, и вроде ничего не отсылается, система дышит ровно вроде.
В логах ничего подозрительного больше нет,если проблема пропала то лечение можно считать законченным.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: