Показано с 1 по 17 из 17.

Win32/Rootkit.Agent.NDF, Win32/Wigon.Z, Win32/Rootkit.Agent.HU и другие (заявка № 13621)

  1. #1
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    61

    Exclamation Win32/Rootkit.Agent.NDF, Win32/Wigon.Z, Win32/Rootkit.Agent.HU и другие

    Вообщем подцепил блин нечисть! NOD-ом просканил - нашел зараженные файлы и поместил их в карантин. IE сразу заглючил. Переустановил - теперь вроде нормально. Но все равно остались сомнения. На рабочем столе появился непонятный ярлык ms-dos под названием updaterr. Помогите, плз.
    Вложения Вложения
    Последний раз редактировалось Зайцев Олег; 28.10.2007 в 18:48.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите...
    Код:
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file)
    сделайте лог...
    http://virusinfo.info/showthread.php?t=10387

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Активного заражения не видно.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file)
    Пришлите по правилам этот updaterr.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    61
    Файл отослал. Лог в безопасном режиме тоже вроде сделал. Вроде этот ярлык на хост какой-то левый указывает...
    Вложения Вложения
    • Тип файла: zip log.zip (9.4 Кб, 2 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт.....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\ksys.sys','');
     DeleteFile('\??\C:\WINDOWS\system32\ksys.sys');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\symavc32.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите последний лог...

  7. #6
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    61
    Готово. У меня еще есть карантин NOD. Там вроде бы файлы runtime.sys, ip6swf.sys и другие. Их можно удалить или это системные файлы?
    В папке Windows есть файлы kiss.rar system32CmdLineExt.dll. Может это тоже вирусы. Хотя NOD на них не ругается.
    Вложения Вложения
    • Тип файла: zip log.zip (9.3 Кб, 2 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\Documents and Settings\Дима2\Рабочий стол\updaterr.pif
    Код:
    AhnLab-V3	2007.10.27.0	2007.10.26	-
    AntiVir	7.6.0.30	2007.10.26	TR/Dldr.Armit.A
    Authentium	4.93.8	2007.10.26	-
    Avast	4.7.1074.0	2007.10.28	Win32:Small-HZQ
    AVG	7.5.0.503	2007.10.28	-
    BitDefender	7.2	2007.10.28	Trojan.Agent.Small.SVH
    CAT-QuickHeal	9.00	2007.10.26	-
    ClamAV	0.91.2	2007.10.28	-
    DrWeb	4.44.0.09170	2007.10.28	Trojan.DownLoader.35978
    eSafe	7.0.15.0	2007.10.28	-
    eTrust-Vet	31.2.5244	2007.10.26	-
    Ewido	4.0	2007.10.28	-
    FileAdvisor	1	2007.10.28	-
    Fortinet	3.11.0.0	2007.10.19	-
    F-Prot	4.3.2.48	2007.10.26	-
    F-Secure	6.70.13030.0	2007.10.27	-
    Ikarus	T3.1.1.12	2007.10.27	Virus.Win32.Small.HZQ
    Kaspersky	7.0.0.125	2007.10.28	-
    McAfee	5150	2007.10.26	-
    Microsoft	1.2908	2007.10.28	-
    NOD32v2	2621	2007.10.28	-
    Norman	5.80.02	2007.10.26	-
    Panda	9.0.0.4	2007.10.28	-
    Prevx1	V2	2007.10.28	-
    Rising	19.46.61.00	2007.10.28	-
    Sophos	4.23.0	2007.10.28	-
    Sunbelt	2.2.907.0	2007.10.27	-
    Symantec	10	2007.10.28	-
    TheHacker	6.2.9.110	2007.10.27	-
    VBA32	3.12.2.4	2007.10.28	-
    VirusBuster	4.3.26:9	2007.10.27	-
    Webwasher-Gateway	6.6.1	2007.10.28	Trojan.Dldr.Armit.A
    выполните скрипт....
    Код:
    begin
     DeleteFile('C:\Documents and Settings\Дима2\Рабочий стол\updaterr.pif');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите файлы которые считаете подозрительными ....
    сделайте полный комплект логов ....

  9. #8
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    61
    Отправил файлы, которые вызывают подозрение. Сделал новые логи.
    И такой вопрос.
    NOD32 удалил файл runtime.sys, ip6fw.sys, symavc32.sys. ip6fw я восстановил, а вот другие нет. Их надо восстанавливать?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    runtime.sys, ip6fw.sys, symavc32.sys - все зловреды ....

  11. #10
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    61
    Так я же ip6fw.sys в дистрибутиве Windows нашел. А остальные файлы, которые отослал - есть вири?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    вот на него и замените убитый антивирусом ....

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот это чудо пришлите по правилам:
    C:\WINDOWS\system32CmdLineExt.dll
    (слэша после system32 нет, это не опечатка).
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    вот на него и замените убитый антивирусом ....
    Так я и заменил. Только вот остальные runtime.sys и symavc32.sys не нашел на диске с Windows. Или они были как дополнение к вирусу?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    runtime.sys и symavc32.sys на диске с Windows и нет ....

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    уберите файл из темы .... вы его уже присылали по правилам .... по вирустотал он чистый ... подождем что скажет вирлаб ...

  17. #16
    Junior Member Репутация
    Регистрация
    19.09.2007
    Сообщений
    45
    Вес репутации
    61
    Вообщем все нормально вроде бы. Все подозрительное удалил, только правая кнопка мышки при нажатии иногда глючит. Но это скорее всего глюк IE после переустановки.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\дима2\\рабочий стол\\updaterr.pif - Trojan-Downloader.Win32.Tiny.ze (DrWEB: Trojan.DownLoader.3597


  • Уважаемый(ая) luk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Win32/Wigon.Z и Win32/Rootkit.Agent.NDF
      От art1k в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:56
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00
    5. Два трояна: Win32/Wigon.AV и Win32/Rootkit.Agent.DP
      От murka135 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.02.2008, 02:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01402 seconds with 18 queries