-
Вложений: 3
Троян/руткит
Обнаружил, что какая-то программа потребляет значительное количество интернет-трафика, как входящего, так и исходящего, даже если не запущена ни один браузер.
Лог фаервола показал, что этот трафик потребляет C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE, который лезет по адресам
208.66.194.234
208.66.194.241
66.246.252.215
66.246.252.213
66.246.72.173
67.18.114.98
Сам процесс IEXPLORE.EXE в списке процессов не виден.
Проверка антивирусами показала
DrWeb
Trojan.NtRootKit.319 в C:\WINDOWS\system32\drivers\ip6fw.sys
Касперский
Rootkit.Win32.Agent.jp в C:\WINDOWS\system32\drivers\runtime.sys
Trojan-Downloader.Win32.Agent.acl в c:\windows\system32\drivers\ip6fw.sys
NOD32
Win32/Rootkit.Agent.DP в c:\windows\system32\drivers\ip6fw.sys
Ни один из антивирусов систему не вылечил - зараженные файлы удаляются, но затем появляются вновь.
Благодарю за помощь
-
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строчку:[code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\KillSoft\HKM\hkmhooks.dll','');
QuarantineFile('c:\windows\system32\stacsv.exe','');
QuarantineFile('c:\program files\killsoft\hkm\hkm.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_deleteSVC('runtime');
BC_DeleteSVC('runtime2');
BC_ImportQuarantinelist;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13479[/url] , как написано в прил. 3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] и сделайте новые логи, начиная с п. 10 правил.
-
Выполнить скрипт:
[CODE]begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин после перезагрузки.
Сделать новые логи. Их прикрепить сюда.
-
Спасибо
Спасибо за быстрый ответ
Но чьей рекомендации следовать: Numb или PavelA?
-
Давайте, объединим :)На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор. Пофиксите c помощью Hijackthis строчку: [code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\KillSoft\HKM\hkmhooks.dll','');
QuarantineFile('c:\windows\system32\stacsv.exe','');
QuarantineFile('c:\program files\killsoft\hkm\hkm.exe','');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_deleteSVC('runtime');
BC_DeleteSVC('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportQuarantinelist;
BC_Activate;
// ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13479[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] , и сделайте новые логи, начиная с п. 10 правил.
-
Вложений: 2
Результат лечения
Направляю логи
Из скрипта я удалил строки
[code]
QuarantineFile('C:\Program Files\KillSoft\HKM\hkmhooks.dll','');
QuarantineFile('c:\windows\system32\stacsv.exe','');
QuarantineFile('c:\program files\killsoft\hkm\hkm.exe','');
[/code]
Эти файлы от известных мне программ.
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00668 seconds with 10 queries