Win32/Rootkit.Agent.EY

Printable View

14.06.2007, 00:19
Ramil

Вложений: 3

Win32/Rootkit.Agent.EY

Добрый день, господа хелперы,

NOD32 сегодня обнаружил троян (ниже строчка лога сканера):

C:\System Volume Information\_restore{8686517C-C2C4-4609-BAD9-BBFB95A14241}\RP106\A0031936.sys - Win32/Rootkit.Agent.EY trojan - unable to clean - quarantined - deleted

Несколько записей назад уже давались логи AVZ и HiJAckthis связанные с этим трояном. Можно ли использовать для лечения скрипт, предоставленный в ответ на сообщение пользователя vook?
14.06.2007, 00:39
Numb

У вас попроще скрипт будет: на время выполнения - отключите восстановление системы, отключите Nod32, отключитесь от сети. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=10361[/url] , как написано в прил. 3 правил, и сделайте новые логи, начиная с п. 10 правил
14.06.2007, 01:35
Ramil

Вложений: 3

отчеты

Карантин передан:

Файл сохранён как

070614_011741_virus_46705ef54e34d.zip
Размер файла19566MD5dc0b7cd8c562c0a14076370da926cb91

Логи - во вложении

Пока не забыл - спасибо огромное :-)
14.06.2007, 02:25
Кто?

В присланном:
файл C:\WINDOWS\Temp\startdrv.exe - была троянская программа Trojan-Downloader.Win32.Agent.brk (По Касперскому)
14.06.2007, 03:48
Muzzle

В логах ничего подозрительного нет,если симптомы исчезли то можно считать лечение законченным.

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
22.02.2009, 01:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Agent.brl[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]