Показано с 1 по 11 из 11.

Не могу избавиться отWin32/Rootkit.Agent.NDF(DP) (заявка № 13456)

  1. #1
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    г.Волгоград
    Сообщений
    17
    Вес репутации
    34

    Thumbs up Не могу избавиться отWin32/Rootkit.Agent.NDF(DP)

    Здравствуйте!
    Очень прошу вас помочь мне похожей как у EL Lobo проблеме, решённой сегодня. Суть моей:
    Обновлённый неделю назад NOD32 каждый раз при перезагрузке системы находит и удаляет троянов Win32/Rootkit.Agent.DP (файл
    С:\Windows\Sistem32\drivers\ip6fw.sys) и Win32/Rootkit.Agent.NDF (файл С:\Windows\Sistem32\drivers\runtime.sys). Проявляются они то оба,то по одиночке. Иногда находится какой-то зловредный ключ из реестра. Вирусы проявляются то по одному,то вместе. После их появления компьютер стал жутко тормозить. Диспетчер задач показал, что систему грузит на 99% установленный, но не запущенный ни мной ни атозагрузкой QuickTimeTSK. После удаления QuickTimeTSK тормоза вроде бы пропали. Кроме того файрвол Oupost3 предупреждает, что скрытый процесс запрашивает исходящее соединение (процесс:iexplore.exe;запущен:c:\Windows\TEMP\STAR TDRV.EXE).
    После блокировки файрволом - процесс пытается стучаться по разным портам без остановки.
    Думаю,что в одиночку мне не справиться с проблемой.
    Буду очень благодарен за помощь.
    Последний раз редактировалось dmpog; 13.12.2007 в 23:32.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)
    O16 - DPF: Win32 Classes - 
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\winstart.bat','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ip6fw.sys','');
     QuarantineFile('C:\Documents and Settings\Дмитрий\Local Settings\Temp\302965.exe','');
     QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\winstart.bat');
    BC_ImportDeletedList;
    BC_DeleteSvc('runtime2');
    BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.

    Добавлено через 8 минут

    Скачайте программу WinSockxpFix:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
    но пока не запускайте.
    Последний раз редактировалось Bratez; 23.10.2007 в 15:54. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    г.Волгоград
    Сообщений
    17
    Вес репутации
    34
    Добрый вечер! Извините,что немного задержался с ответом.
    Выполнил ваше руководство, отслал карантин, скачал WinSockxpFix
    (не запускал).
    После перезагрузок системы NOD32 опять находит C:\WINDOWS\SYSTEM32\DRIVERS\ip6fw.sys - Win32/Rootkit.Agent.DP троян. Хотя сетевая активность изменилась.
    Outpost показывает слабые попытки связи через netbios при отключенном соединении.
    Высылаю вам новые логи для объективной информации.
    Последний раз редактировалось dmpog; 13.12.2007 в 23:32.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Стало немного почище

    В карантине:
    302965.exe - Rootkit.Win32.Agent.ey
    rsvp32_2.dll - Trojan.Win32.Agent.axo

    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O20 - Winlogon Notify: bnreg - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Дмитрий\Local Settings\Temp\302965.exe');
     DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
     DelSPIByFileName('rsvp32_2.dll',true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки еще один:
    Код:
    begin
    ExecuteRepair(14);
    RebootWindows(true);
    end.
    После этого, если пропадет связь с локалкой и/или интернетом, воспользуйтесь скачанной программой (запустить, нажать Fix), только предварительно запишите настройки сетевых подключений, т.к. она их сбрасывает.

    Поищите с помощью AVZ (Сервис - Поиск файлов на диске) эти файлы:
    walign.exe
    setupx.dll
    Если найдутся - пришлите по правилам.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    г.Волгоград
    Сообщений
    17
    Вес репутации
    34
    Состояние намного улучшилось!
    После выполнения процедур, запуска WinSockxpFix, искал walign.exe , setupx.dll. Файлы не нашлись. Проверил диски обновлённым NODом и AVZ. Руткитов не обнаружил.
    Прошу вас проверить прикреплённые логи для контроля.
    Последний раз редактировалось dmpog; 13.12.2007 в 23:32.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В логах практически чисто.

    1. Удалите задание в Планировщике (Панель управления - Назначенные задания).
    2. В AVZ откройте Менеджер ActiveSetup и удалите строчку с упоминанием setupx.dll.
    3. Проверим на всякий случай еще пару файлов. Выполните скрипт:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\PROGRA~1\TOPSUR~1\twsband.dll','');
     QuarantineFile('D:\Оля\OMS\ShlExt.dll','');
    end.
    и пришлите карантин по правилам.

    4. Посмотрите, что нужно / не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> разрешена потенциально опасная служба TermService (Службы терминалов)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Лишнее отключим.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    г.Волгоград
    Сообщений
    17
    Вес репутации
    34
    Карантин после выполнения процедур выслан. Интересно, что там обнаружилось.Отключил ненужные службы. Деятельности троянов не видно.
    Я очень благодарен вам за профессиональную помощь.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    По рзультатам проверки на virustotal:

    ShlExt.dll - чистый

    twsband.dll обругали два антивируса
    ClamAV 0.91.2 2007.10.25 Adware.BHO-26
    DrWeb 4.44.0.09170 2007.10.25 Trojan.StartPage.origin
    Отправил файл в ЛК, но думаю и так ясно, что ничего хорошего.
    Если в Установка/удаление программ есть что-то вроде TopSurfer Toolbar, удалите его обычным образом. Если нет - предлагаю удалить его таким скриптом:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\PROGRA~1\TOPSUR~1\twsband.dll');
     BC_DeleteFile('C:\PROGRA~1\TOPSUR~1\twsband.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и пофиксить в HijackThis:
    Код:
    O3 - Toolbar: &TopSurfer - {AF657644-964C-4348-A8AD-72524B3A3FF1} - C:\PROGRA~1\TOPSUR~1\twsband.dll
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    г.Волгоград
    Сообщений
    17
    Вес репутации
    34
    Я грешным делом подумал,что злыдней всех вывели.
    Спасибо, что не оставляете в беде. NODом пользуюсь уже несколько лет. Видать не справляется иноземец.
    Сделал всё,что вы рекомендовали. Прикрепляю логи для контроля.
    Последний раз редактировалось dmpog; 13.12.2007 в 23:32.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ну вот теперь чисто!

    Для пущей стерильности эти две службы в "отключено" поставьте:
    Код:
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    и мы вас выписываем .

    Если что - заходите еще.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    г.Волгоград
    Сообщений
    17
    Вес репутации
    34
    Ещё раз хочу поблагодарить вас за оказанную помощь .

  • Уважаемый(ая) dmpog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. win32/Rootkit.Agent.ODG немогу избавиться!
      От salihov в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.07.2009, 16:00
    2. Избавиться от Win32/Rootkit.Agent.NBM
      От Sam1968 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 10:11
    3. Не могу избавиться от Rootkit.Win32.Agent
      От Gazni в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:16
    4. Как избавиться от Rootkit.Agent.DW и wigon.Z ?
      От Imix в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.09.2007, 16:47
    5. Как избавиться от Rootkit.Agent.DW wigon.Z
      От Paulig в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.08.2007, 11:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00492 seconds with 19 queries