Printable View
Trojan.NtRootKit.319 прописался на машине.
Пробовал вывести его при помощи DrWeb 4.33. Базы перед этим обновил. Лечил загрузившись в безопасном режиме. Антивирус находит инфицированный файл, удаляет. После перезагрузки он опять появляется. :(
Пробовал удалить файл рукми - появляется даже до перезагрузки...
Аналогичную проблему видел на Вашем форуме.
Свои логи прилогаю. Надеюсь на Вашу помощь.
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\mscdaux.dll','');
QuarantineFile('C:\WINDOWS\system32\nqhbhheq.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\2236_28.dll','');
DeleteFile('C:\WINDOWS\system32\2236_28.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\nqhbhheq.dll');
DeleteFile('C:\WINDOWS\system32\mscdaux.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
Отправил карантин. Надеюсь, все что нужно пришло. Если что-то нужно отправить еще - отправлю.
Вот повторные логи:
пофиксите ...
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\2.tmp','');
QuarantineFile('D:\StatLoader\ExcelFileProcessor\obj\olexlsf.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\2.tmp');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\Temp\C0B.tmp');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('ip6fw');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин соглано приложения 3 правил ..
повторите логи..
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Packed.180)[/LIST][/LIST]