Показано с 1 по 17 из 17.

помогите избавиться отTrojan.NTRootKit.1070 (заявка № 22726)

  1. #1
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59

    Exclamation помогите избавиться отTrojan.NTRootKit.1070

    Каждый раз после перезагрузки компьютера в папке с:\Windows\system32\drivers Доктор Веб находит зараженный этим вирусом драйвер tcpsr.sys - после удаления и перезагрузки файл появляется снова!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('Nfi66');
     SetServiceStart('Nfi66', 4);
     StopService('tcpsr');
     SetServiceStart('tcpsr', 4);
     QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Mnm11.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Say44.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Dra44.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nfi66.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\Program Files\Avant Browser\ie_updates3r.exe','');
     DeleteFile('C:\Program Files\Avant Browser\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dra44.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Say44.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Mnm11.sys');
     DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
    BC_ImportALL;
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Say44');
     BC_DeleteSvc('Mnm11');
     BC_DeleteSvc('grande48');
     BC_DeleteSvc('Dra44');
     BC_DeleteSvc('Nfi66');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=22726).
    Сделайте новый лог syscheck (п.10 правил).

    * На время выполнения скриптов и подготовки карантина интернет и антивирус необходимо отключить.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    После выполнения скрипта и перезагрузки и поключения к интернету появились следующие вирусы:
    C:\Windows\system32\cbOCR.dll - заражен Trojan.Cacha
    C:\Windows\system32\drivers\tcpsr.sys - заражен Trojan.NTRootKit.1070
    C:\Windows\TEMP\BN1.tmp - заражен Trojan.Rntm.6

    Раньше обнаруживался только Trojan.NTRootKit.1070

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    Новые логи
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Nfi66');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nfi66.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys');
     DeleteFile('WinNt32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи начиная с пункта 10 правил...

  8. #7
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    Новые логи
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите антивирус и интернет!

    Скачать,меню,File,появится аналог проводника,найти:Nfi66.sys,WinNt32.dll,tcpsr.sys,п равая кнопка мыши Force Delete,на запрос о перезагрузке ответьте положительно,затем выполните скрипт из поста №6 http://virusinfo.info/showpost.php?p=226248&postcount=6

    Повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    Перезагрузился и Доктор Веб опять нашел Trojan.NTRootKit.1070 в файле tcpsr.sys...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    дрвеб отключить перед исполнением скрипта не забыли?

    Пофиксить в hijackthis:

    Код:
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    не перегружаясь выполнить скрипт в авз

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_DeleteSvc('Nfi66');
    BC_DeleteSvc('tcpsr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(6);
     ExecuteRepair(8); 
    RebootWindows(true);
    end.
    Последний раз редактировалось drongo; 12.05.2008 в 18:04.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    После скрипта от drongo сделайте новый лог по пункту 8 правил.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Амиконовского фарвола у вас случайно нет ?

  14. #13
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    новый лог...

    Когда я искал при помощи Ice Sword файл WinNt32.dll чтобы удалить в этой же папке был файл WinNt32.dl_ такого же размера - его нужно удалять?

    По-мойму, теперь все получилось - по крайней мере трафик больше никто не жрет - большое спасибо за помощь!
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    WinNt32.dl_ - да, удалите.
    Руткиты удалены.
    Кое-что можно проверить.
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\CARTMA~1.SCR','');
     QuarantineFile('c:\windows\system32\ncfpsys.exe','');
     QuarantineFile('c:\program files\avant browser\iexplore.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22726 ).

    Сделайте новый лог Hijackthis.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    09.03.2008
    Сообщений
    13
    Вес репутации
    59
    лог HijackThis...
    Вложения Вложения

  17. #16
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Аналики отвли что CARTMA~1.SCR, ncfpsys.exe, iexplore.exe - чистые. проблемы какие-то наблюдаются?

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 36
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\avant browser\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.hp (DrWEB: Trojan.DownLoader.based)
      2. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.vo (DrWEB: BackDoor.Bulknet.18
      3. c:\\windows\\temp\\csrssc.exe - Trojan.Win32.Agent.gmo (DrWEB: BackDoor.Siggen.2)


  • Уважаемый(ая) Zillli, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 02.05.2009, 18:40
    2. Невозможно вылечить NTRootKit.1070
      От KoNst в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:17
    3. Trojan.NtRootKit.319, не могу избавиться
      От Mitiz в разделе Помогите!
      Ответов: 62
      Последнее сообщение: 22.02.2009, 02:15
    4. Как избавиться от Trojan.NtRootKit.312
      От Baster в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.02.2008, 03:38
    5. Не могу избавиться от Trojan.NtRootKit.61
      От Visavi в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.01.2006, 11:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00076 seconds with 20 queries