Trojan.NtRootkit.319

Printable View

26.08.2007, 14:02
mikev

Вложений: 3

Trojan.NtRootkit.319

Компьютер стал вести себя подозрительно: тормозил, пытался коннектиться без спроса, большой исходящий траффик. Против вирусов стояла AVIRA, но она перестала работать. Снес Авиру, поставил DrWeb.
Он нашел: "C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован Trojan.NtRootKit.319". Файл был удален, но после перезагрузки появляется снова.
Помогите, кто чем может:embarasse
Заранее благодарю
26.08.2007, 14:14
Bratez

Выполните скрипт в AVZ:
[code]
begin
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки выложите архив карантина на файлообменник, например, [url]www.slil.ru[/url], и дайте ссылку.
26.08.2007, 14:53
mikev

Большое спасибо!

Скрипт выполнил. Почему-то на перезагрузку компьютер сам не пошел. Перегрузился вручную.

Карантин выложил сюда: vtnk.smtp.ru/virus.zip

Только что DrWeb отловил Программы\Автозагрузка\ctfmon.exe.
Удалить не смог
26.08.2007, 15:04
Bratez

Выполните следующий скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Recycled\Recycled\ctfmon.exe');
DeleteFile('C:\Recycled\ctfmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.
26.08.2007, 15:52
mikev

Там и правда ctfmon.exe сидит.

[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]

Скрипт выполнил. Компьютер перегрузился сам.
Новые логи присоединил.
Почему-то ctfmon.exe все сидит в автозагрузке.
Его не нужно удалить?
26.08.2007, 15:56
Bratez

[QUOTE]Почему-то ctfmon.exe все сидит в автозагрузке.
Его не нужно удалить?[/QUOTE]
А в логах его там нет. Кстати новых логов я не вижу.
26.08.2007, 15:57
Rene-gad

[quote=mikev;129443]
Почему-то ctfmon.exe все сидит в автозагрузке.
Его не нужно удалить?[/quote]
если он так сидит [QUOTE]O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
[/QUOTE]
то не надо его удалять
26.08.2007, 16:04
mikev

Видно, я не так новые логи кладу.
Выложил сюда: vtnk.smtp.ru/log.zip
>>если он так сидит
Да, в реестре есть такая запись
26.08.2007, 16:17
Bratez

Да, это я просмотрел его в первых логах, пардон :)
Выполните такой скрипт, чтобы уж точно всех добить:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\Documents and Settings\ПАПА.ANTON-A5BFE88B6\Главное меню\Программы\Автозагрузка\ctfmon.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Recycled\Recycled\ctfmon.exe');
DeleteFile('C:\Recycled\ctfmon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
На этом, полагаю, дело будет закончено.
Для контроля сделайте еще раз логи, начиная с п.10 правил.
26.08.2007, 16:36
mikev

Спасибо, все сделал, как Вы сказали. Теперь ctfmon.exe в автозагрузке больше нету.
Новые логи выложил сюда:
vtnk.smtp.ru/log1.zip
26.08.2007, 16:44
Bratez

Все чисто.
26.08.2007, 16:48
mikev

Спасибо!
Теперь можно вернуть "восстановление системных файлов"?
26.08.2007, 16:52
Bratez

Можно, если оно нужно.
Хотя и без него можно совершенно спокойно обойтись.
26.08.2007, 19:17
Muzzle

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!