Каждый раз после перезагрузки компьютера в папке с:\Windows\system32\drivers Доктор Веб находит зараженный этим вирусом драйвер tcpsr.sys - после удаления и перезагрузки файл появляется снова!
Каждый раз после перезагрузки компьютера в папке с:\Windows\system32\drivers Доктор Веб находит зараженный этим вирусом драйвер tcpsr.sys - после удаления и перезагрузки файл появляется снова!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('Nfi66'); SetServiceStart('Nfi66', 4); StopService('tcpsr'); SetServiceStart('tcpsr', 4); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Mnm11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Say44.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Dra44.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nfi66.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('C:\Program Files\Avant Browser\ie_updates3r.exe',''); DeleteFile('C:\Program Files\Avant Browser\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dra44.sys'); DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Say44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Mnm11.sys'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); BC_ImportALL; BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Say44'); BC_DeleteSvc('Mnm11'); BC_DeleteSvc('grande48'); BC_DeleteSvc('Dra44'); BC_DeleteSvc('Nfi66'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=22726).
Сделайте новый лог syscheck (п.10 правил).
* На время выполнения скриптов и подготовки карантина интернет и антивирус необходимо отключить.
I am not young enough to know everything...
После выполнения скрипта и перезагрузки и поключения к интернету появились следующие вирусы:
C:\Windows\system32\cbOCR.dll - заражен Trojan.Cacha
C:\Windows\system32\drivers\tcpsr.sys - заражен Trojan.NTRootKit.1070
C:\Windows\TEMP\BN1.tmp - заражен Trojan.Rntm.6
Раньше обнаруживался только Trojan.NTRootKit.1070
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Новые логи
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Nfi66'); QuarantineFile('C:\WINDOWS\system32\Drivers\Nfi66.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys'); DeleteFile('WinNt32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи начиная с пункта 10 правил...
Новые логи
Отключите антивирус и интернет!
Скачать,меню,File,появится аналог проводника,найти:Nfi66.sys,WinNt32.dll,tcpsr.sys,п равая кнопка мыши Force Delete,на запрос о перезагрузке ответьте положительно,затем выполните скрипт из поста №6 http://virusinfo.info/showpost.php?p=226248&postcount=6
Повторите логи.
Перезагрузился и Доктор Веб опять нашел Trojan.NTRootKit.1070 в файле tcpsr.sys...
дрвеб отключить перед исполнением скрипта не забыли?
Пофиксить в hijackthis:
не перегружаясь выполнить скрипт в авзКод:O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteSvc('Nfi66'); BC_DeleteSvc('tcpsr'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
Последний раз редактировалось drongo; 12.05.2008 в 18:04.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
После скрипта от drongo сделайте новый лог по пункту 8 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Амиконовского фарвола у вас случайно нет ?
новый лог...
Когда я искал при помощи Ice Sword файл WinNt32.dll чтобы удалить в этой же папке был файл WinNt32.dl_ такого же размера - его нужно удалять?
По-мойму, теперь все получилось - по крайней мере трафик больше никто не жрет - большое спасибо за помощь!
WinNt32.dl_ - да, удалите.
Руткиты удалены.
Кое-что можно проверить.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\CARTMA~1.SCR',''); QuarantineFile('c:\windows\system32\ncfpsys.exe',''); QuarantineFile('c:\program files\avant browser\iexplore.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22726 ).
Сделайте новый лог Hijackthis.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
лог HijackThis...
Аналики отвли что CARTMA~1.SCR, ncfpsys.exe, iexplore.exe - чистые. проблемы какие-то наблюдаются?
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\avant browser\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.hp (DrWEB: Trojan.DownLoader.based)
- c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.vo (DrWEB: BackDoor.Bulknet.18
- c:\\windows\\temp\\csrssc.exe - Trojan.Win32.Agent.gmo (DrWEB: BackDoor.Siggen.2)
Уважаемый(ая) Zillli, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.