Показано с 1 по 11 из 11.

нечто пытается создавать rdriv.sys, который определяется как Trojan.Nt.RootKit.61 (заявка № 6464)

  1. #1
    Junior Member Репутация
    Регистрация
    13.10.2006
    Адрес
    Москва
    Сообщений
    10
    Вес репутации
    38

    Thumbs up нечто пытается создавать rdriv.sys, который определяется как Trojan.Nt.RootKit.61

    В один "прекрассный" момент на машине с Win2000pro sp2 rus обнаружил. что SpaderGuard блокирует файл winnt\system32\rdriv.sys, который определяет как Trojan.Nt.RootKit.61

    Попытка лечить его DrWeb-ом ни в обычном, ни в безопасном режиме Винды не увенчалась успехом, т.к. после перезагрузки rdriv.sys сова появляется и блокируется Спайдером. Проверка всех файлов свежим DrWeb-ом никаких других вирусов или подозрений на них не дает.

    Каких либо деструктивных действий на машине пока не замечено, но все-равно озадачивает такая ситуация.

    Файлы соглсно правилам прилагаю.

    PS Аналогичная штука наблюдается еще на одной машине в нашей локалке, но там Спайдер (видимо, настройки у него иначе поставлены) не блокирует rdriv.sys, а успешно лечит. Файл появляется вновь, Спайдер его лечит... и так бесконечно. Т.е. какая-то зараза его все время создает/заражает, но сама остается "в тени"...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Собственно это драйвер для руткит-маскировки, и его лечвение сводится к удалению. Раз процесс повторяется - значит, есть некое приложение, которое пытается его установить.
    Пришлите согласно правилам файлы:
    d:\winnt\msmedia.exe
    D:\WINNT\AppPatch\Win2kPropagateLayer.dll
    System32\s3lc2x.dll

    Наш подозреваеемый - пости наверняка msmedia.exe, это видно по его анализу:
    Анализатор - изучается процесс 748 D:\WINNT\MSmedia.exe
    [ES]:Возможно Malware, нейрооценка = 5000
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:EXE упаковщик ?
    [ES]:Размещается в системной папке
    [ES]:Предположительно может модифицировать параметры Firewall и безопасности
    [ES]:Содержит детектор отладчика и утилит мониторинга ?
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    судя по
    этому
    , достаточно старая вещь , видимо новый вариант у вас завёлся .

  5. #4
    Junior Member Репутация
    Регистрация
    13.10.2006
    Адрес
    Москва
    Сообщений
    10
    Вес репутации
    38

    Arrow

    Цитата Сообщение от Зайцев Олег
    Пришлите согласно правилам файлы:
    d:\winnt\msmedia.exe
    D:\WINNT\AppPatch\Win2kPropagateLayer.dll
    System32\s3lc2x.dll
    Сделал.
    Единственно что, я не по новой в карантин их помещал, а взял из того. что автоматом ранее AVZ сама закарантинила. Или надо обязательно по новой, как в Приложении 2 правил написано?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от aron
    Сделал.
    Единственно что, я не по новой в карантин их помещал, а взял из того. что автоматом ранее AVZ сама закарантинила. Или надо обязательно по новой, как в Приложении 2 правил написано?
    msmedia.exe = Backdoor.Win32.Agobot.afk.
    Необходимо:
    1. Закрыть все программы, запустить AVZ, активировать AVZ Guard
    2. Остановить процесс msmedia.exe в диспетчере процессов AVZ и удалить его исполняемый файл d:\winnt\msmedia.exe отложенным удалением
    3. Перезагрузиться, не отключая AVZGuard и не выходя из AVZ

  7. #6
    Junior Member Репутация
    Регистрация
    13.10.2006
    Адрес
    Москва
    Сообщений
    10
    Вес репутации
    38
    Спасибо. Олег. сделал.

    После чистки запустил еще раз сканирование компа и AVZ находит system32\drivers\ujm3nzg1.sys распознанный как "перехватчик KernelMode". Причем оный файл не в одном экземпляре в "отчете" появляется, а штук 7...

    Может ли это быть "хвостом" трояна? Надо ли его тоже удалить?

    На второй зараженной машине там же аналогичный файл(-ы), но имя c несколько другими буковками...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Почему у всех мания срзу удалить , может что-то интерстное , вдруг новая жизнь : Или может грубое удаление приведёт к краху системы . Подозрительные файлы нужно присылать !
    Для каждой машины следует открывать новую тему с новыми логами .

  9. #8
    Junior Member Репутация
    Регистрация
    13.10.2006
    Адрес
    Москва
    Сообщений
    10
    Вес репутации
    38
    Цитата Сообщение от drongo
    Почему у всех мания срзу удалить , может что-то интерстное , вдруг новая жизнь
    Нам такой жизни не надо

    Цитата Сообщение от drongo
    Подозрительные файлы нужно присылать !
    А не хочет оно в карантин. Вроде как добавляет, но 0 байт получается файл. Можно ли "вручную" (не через AVZ) архивнуть файл?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от aron
    Нам такой жизни не надо



    А не хочет оно в карантин. Вроде как добавляет, но 0 байт получается файл. Можно ли "вручную" (не через AVZ) архивнуть файл?

    Можно , только врядли получиться Попробуй в авз включить блокировку кернел мод и user-мод , а потом в карантин .

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от aron
    Спасибо. Олег. сделал.

    После чистки запустил еще раз сканирование компа и AVZ находит system32\drivers\ujm3nzg1.sys распознанный как "перехватчик KernelMode". Причем оный файл не в одном экземпляре в "отчете" появляется, а штук 7...

    Может ли это быть "хвостом" трояна? Надо ли его тоже удалить?

    На второй зараженной машине там же аналогичный файл(-ы), но имя c несколько другими буковками...
    Это драйвер AVZ, он видится, если сканироватьсистему при включенном AVZ Guard. А в карантин не копируется, так как AVZ соображает, что это его компонента и она не опасна ... кстати в логе он должен писать, что драйвер не опасен.

  12. #11
    Junior Member Репутация
    Регистрация
    13.10.2006
    Адрес
    Москва
    Сообщений
    10
    Вес репутации
    38
    Цитата Сообщение от Зайцев Олег
    Это драйвер AVZ...
    Понятно. Значит, вылечился. Спасибо.

  • Уважаемый(ая) aron, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:24
    2. Ответов: 1
      Последнее сообщение: 24.11.2008, 12:28
    3. Ответов: 2
      Последнее сообщение: 28.12.2006, 19:31
    4. Борьба с ROOTkit.Win32.Agent.p в файле rdriv.sys
      От ALmazini в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 15.10.2006, 22:38
    5. И снова rdriv.sys
      От mikeph в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.08.2006, 14:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00892 seconds with 21 queries