Показано с 1 по 17 из 17.

Win32/Rootkit.Agent.NDF, Win32/Wigon.Z, Win32/Rootkit.Agent.HU и другие (заявка № 13621)

  1. #1
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    34

    Exclamation Win32/Rootkit.Agent.NDF, Win32/Wigon.Z, Win32/Rootkit.Agent.HU и другие

    Вообщем подцепил блин нечисть! NOD-ом просканил - нашел зараженные файлы и поместил их в карантин. IE сразу заглючил. Переустановил - теперь вроде нормально. Но все равно остались сомнения. На рабочем столе появился непонятный ярлык ms-dos под названием updaterr. Помогите, плз.
    Вложения Вложения
    Последний раз редактировалось Зайцев Олег; 28.10.2007 в 18:48.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите...
    Код:
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file)
    сделайте лог...
    http://virusinfo.info/showthread.php?t=10387

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Активного заражения не видно.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file)
    Пришлите по правилам этот updaterr.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    34
    Файл отослал. Лог в безопасном режиме тоже вроде сделал. Вроде этот ярлык на хост какой-то левый указывает...
    Вложения Вложения
    • Тип файла: zip log.zip (9.4 Кб, 2 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт.....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\ksys.sys','');
     DeleteFile('\??\C:\WINDOWS\system32\ksys.sys');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\symavc32.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите последний лог...

  7. #6
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    34
    Готово. У меня еще есть карантин NOD. Там вроде бы файлы runtime.sys, ip6swf.sys и другие. Их можно удалить или это системные файлы?
    В папке Windows есть файлы kiss.rar system32CmdLineExt.dll. Может это тоже вирусы. Хотя NOD на них не ругается.
    Вложения Вложения
    • Тип файла: zip log.zip (9.3 Кб, 2 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\Documents and Settings\Дима2\Рабочий стол\updaterr.pif
    Код:
    AhnLab-V3	2007.10.27.0	2007.10.26	-
    AntiVir	7.6.0.30	2007.10.26	TR/Dldr.Armit.A
    Authentium	4.93.8	2007.10.26	-
    Avast	4.7.1074.0	2007.10.28	Win32:Small-HZQ
    AVG	7.5.0.503	2007.10.28	-
    BitDefender	7.2	2007.10.28	Trojan.Agent.Small.SVH
    CAT-QuickHeal	9.00	2007.10.26	-
    ClamAV	0.91.2	2007.10.28	-
    DrWeb	4.44.0.09170	2007.10.28	Trojan.DownLoader.35978
    eSafe	7.0.15.0	2007.10.28	-
    eTrust-Vet	31.2.5244	2007.10.26	-
    Ewido	4.0	2007.10.28	-
    FileAdvisor	1	2007.10.28	-
    Fortinet	3.11.0.0	2007.10.19	-
    F-Prot	4.3.2.48	2007.10.26	-
    F-Secure	6.70.13030.0	2007.10.27	-
    Ikarus	T3.1.1.12	2007.10.27	Virus.Win32.Small.HZQ
    Kaspersky	7.0.0.125	2007.10.28	-
    McAfee	5150	2007.10.26	-
    Microsoft	1.2908	2007.10.28	-
    NOD32v2	2621	2007.10.28	-
    Norman	5.80.02	2007.10.26	-
    Panda	9.0.0.4	2007.10.28	-
    Prevx1	V2	2007.10.28	-
    Rising	19.46.61.00	2007.10.28	-
    Sophos	4.23.0	2007.10.28	-
    Sunbelt	2.2.907.0	2007.10.27	-
    Symantec	10	2007.10.28	-
    TheHacker	6.2.9.110	2007.10.27	-
    VBA32	3.12.2.4	2007.10.28	-
    VirusBuster	4.3.26:9	2007.10.27	-
    Webwasher-Gateway	6.6.1	2007.10.28	Trojan.Dldr.Armit.A
    выполните скрипт....
    Код:
    begin
     DeleteFile('C:\Documents and Settings\Дима2\Рабочий стол\updaterr.pif');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите файлы которые считаете подозрительными ....
    сделайте полный комплект логов ....

  9. #8
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    34
    Отправил файлы, которые вызывают подозрение. Сделал новые логи.
    И такой вопрос.
    NOD32 удалил файл runtime.sys, ip6fw.sys, symavc32.sys. ip6fw я восстановил, а вот другие нет. Их надо восстанавливать?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    runtime.sys, ip6fw.sys, symavc32.sys - все зловреды ....

  11. #10
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    34
    Так я же ip6fw.sys в дистрибутиве Windows нашел. А остальные файлы, которые отослал - есть вири?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    вот на него и замените убитый антивирусом ....

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вот это чудо пришлите по правилам:
    C:\WINDOWS\system32CmdLineExt.dll
    (слэша после system32 нет, это не опечатка).
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    34
    Цитата Сообщение от V_Bond Посмотреть сообщение
    вот на него и замените убитый антивирусом ....
    Так я и заменил. Только вот остальные runtime.sys и symavc32.sys не нашел на диске с Windows. Или они были как дополнение к вирусу?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    runtime.sys и symavc32.sys на диске с Windows и нет ....

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    уберите файл из темы .... вы его уже присылали по правилам .... по вирустотал он чистый ... подождем что скажет вирлаб ...

  17. #16
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    34
    Вообщем все нормально вроде бы. Все подозрительное удалил, только правая кнопка мышки при нажатии иногда глючит. Но это скорее всего глюк IE после переустановки.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\дима2\\рабочий стол\\updaterr.pif - Trojan-Downloader.Win32.Tiny.ze (DrWEB: Trojan.DownLoader.3597


  • Уважаемый(ая) luk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Win32/Wigon.Z и Win32/Rootkit.Agent.NDF
      От art1k в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:56
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00
    5. Два трояна: Win32/Wigon.AV и Win32/Rootkit.Agent.DP
      От murka135 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.02.2008, 02:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00152 seconds with 22 queries