Проблема с вирусом Rootkit.Agent

Printable View

22.08.2007, 15:31
Spitfire

Вложений: 3

Проблема с вирусом Rootkit.Agent

Собственно сабж. NOD32 регулярно его находит и даже удаляет, только толку нет.
22.08.2007, 15:39
PavelA

Выполнить скрипт.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки загрузить карантин через ссылку вверху темы.
22.08.2007, 16:19
Spitfire

проблема исчезла. спасибо. карантин выслал.
22.08.2007, 16:27
Bratez

Повторите логи для контроля.
22.08.2007, 17:14
Spitfire

Вложений: 3

ещё раз спасибо
22.08.2007, 17:22
V_Bond

профиксите
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выплните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True)
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
22.08.2007, 17:26
PavelA

Профиксить в hijackthis:

[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/CODE]

P.S. @Bratez Похоже ты прав, не почистился [b]startdrv.exe[/b]
23.08.2007, 17:53
Spitfire

Вложений: 3

сделал как вы просили
23.08.2007, 18:06
PavelA

Логи чистые.
24.08.2007, 03:17
Muzzle

Советую работать за компьютером под пользователем с ограничеными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 02:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.321)[/LIST][/LIST]