Trojan.NetRoot.Kit

Printable View

28.07.2007, 13:03
Gatto

Вложений: 3

Trojan.NetRoot.Kit

Добрый день,

Никак не могу избавиться от распростараненной заразы под названием Trojan.NetRootKit.248 + BackDoor.BulkNet
Антивирус Dr.Web 4.43 каждый раз удаляет эти вирусы, после перезагрузки они возникают снова.
Зараженные файлы ip6wf и ksys из System32
CureIT пробовал - не помогло.

Буду признателен за помощь
28.07.2007, 13:50
V_Bond

профиксите
[code]
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\SystemRoot\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...
28.07.2007, 23:44
Gatto

Trojn. NetRootKit

Спасибо большое

Выполнил все согласно инструкции
После перезагрузки DrWeb ничего не нашел

Карантин - в приложении
28.07.2007, 23:56
V_Bond

[B]Gatto[/B], уберите карантин из темы пришлите его согласно приложению 3 правил....
и повторите все три лога пожалуйста....
29.07.2007, 00:00
Gatto

Пардон, ерунду спорол

Как его убрать из темы?

[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
Файл сохранён как070729_000008_virus_46aba048a6c81.zip
Размер файла14473
MD5222623e3a3e6f688c5928de8e3f2eec8
29.07.2007, 00:05
V_Bond

где повторные логи ?
29.07.2007, 01:17
Gatto

Вложений: 3

Логи в приложении
29.07.2007, 01:35
V_Bond

не все убилось
профиксите
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи...
29.07.2007, 22:59
V_Bond

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи AVZ ...
30.07.2007, 00:38
Gatto

Вложений: 1

И еще раз
30.07.2007, 00:56
Gatto

Не могу вложить остальное - ошибки загрузки
30.07.2007, 03:09
Muzzle

Удалите старые логи и загрузите новые,должно получиться :)
30.07.2007, 09:54
Gatto

Спасибо,

вечером попробую.
30.07.2007, 21:38
Gatto

Вложений: 2

И остальные логи.

Вроде чисто
30.07.2007, 21:44
V_Bond

в логах чисто ....рекомендуем прочитать [url]http://security-advisory.newmail.ru/[/url]
Вы можете нас отблагодарить [url]http://www.virusinfo.info/showthread.php?t=3519[/url] ....
30.07.2007, 21:47
Gatto

Похоже добили заразу.
Спасибо огромное за помощь!
22.02.2009, 02:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\ksys.sys - [B]Rootkit.Win32.Agent.eb[/B] (DrWEB: Trojan.NtRootKit.248)[/LIST][/LIST]