-
Вложений: 3
Win32\Dotex с руткитом.
Привет всем! В особенности хелперам.
Как бы это не банально звучало, но у меня проблемка. (Как говорил персонаж небезызвестной игры "А у кого их нет..."). Проблема заключается в черве.
Вот маленькая предыстория:
Жил был у меня NOD32, работал хорошо, ни с кем не конфликтовал. (Стучать по дереву, дабы не сглазить поздно). Решил испробовать Касперского 7, но он по тогда еще по неведомой причине не запустился. Тогда я вновь решил установить Nod32. Но вдруг после установки и перезагрузки выпало сообщение, что всеми любимый и многоуважаемый процесс lsass сдох. Так продолжалось до тех пор, пока я не удалил Nod32 в безопасном режиме. Конечно, вывод напрашивается сам: либо Nod32 с кем то конфликтует, либо у него личные неприязненные отношение с lsass. (Но в социально опасного Nod32 либо в конфликтующий призрак Касперского мне не верится). Случайно наткнулся на прогу UnHackMe. Нашла мне Win32 Dotex, который, по ее мнению, мешает установке антивирусов. По причине своей недоделанности, удалить она червя не может. AVZ, как это не странно, найти его не может. Вот адрес червя: C:\WINDOWS\system32\drivers\.exe – помогите его убить! Мало того, ему иногда не нравится комбинация Ctrl+Alt+Delete,он блокирует доступ в интернет («модем уже используется»). Svchost ОЧЕНЬ странно ведет себя в интернете.
Пахнет, я бы даже сказал «воняет», проделками руткита. Помогите кто может!
Возможно некоторые меня вспомнят по сумасшедшим логам –я вам уже когда-то писал. Но что было, то было. (Точнее это «что» еще есть).
-
пришлите карантин собранный AVZ .... virusinfo_cure.zip
у вас стоит большое количество защитных программ(антируткитов) + хвосты авира ... помноженное на аутпост это делает систему не предсказуемой ...
попробуйте удалить это все .... думаю жить станет намного легче ....
-
А вот и я!
Вы не смотрите на "Колян" (в логах то нет) -пришлось просить его все отправлять в прошлый раз).
Дабы вам было удобней читать, разобью это письмо на три части (Как говорила наша математичка «Порядок в тетради, порядок в голове»).
1) 2/3 программ я удалил. Антивируса нет, и уж не по моей воли; антишпиона с защитой в реальном времени нет.
2) Агнитум удалить не могу. Раз я тут оказался, можно упомянуть и об этой проблеме:
Когда выхожу в интернет без аутпоста, выпадает синенький экранчик стоп-ошибки. Svchost, когда выходит в интернет, ну в общем такое ощущение, что он где то застрял или сел на мель в одном из портов –система по-страшному тормозит. Однажды Агнтитум выдал сообщение об атаке (6 портов просканировали!), и однажды я случайно застал его (хост) за попыткой пробиться к тому IP. Вроде не пропатченный –размер оригинальный. В чем может быть дело?
3) Тут у меня существо какое-то странное… Вроде бы ничего плохого не делает, а тип все равно довольно таки подозрительный. Вы не могли бы проверить?
PS: А вы не могли бы накатать скрипт удаления файла C:\WINDOWS\system32\drivers\.exe ? (Только удаления сразу после перезагрузки). На душе будет спокойнее…
-
Для предъявления существ есть ссылка над темой. "Прислать запрошенные файлы" называется. А из темы уберите, незачем ему тут маячить. Вдруг и в самом деле вредитель.
Да и не вдруг, а именно вредитель. Trojan.NtRootKit.454 (Dr.Web)
На вынос его.
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
Вердикт от VirusTotal:
[code]Файл nso12k.rar получен 2007.12.05 00:21:04 (CET)
Результат: 16/32 (50%)
Антивирус Версия Обновление Результат
AhnLab-V3 2007.12.5.0 2007.12.04 -
AntiVir 7.6.0.34 2007.12.04 TR/Rootkit.Gen
Authentium 4.93.8 2007.12.04 -
Avast 4.7.1098.0 2007.12.04 Win32:Agent-MED
AVG 7.5.0.503 2007.12.04 Downloader.Agent.UAK
BitDefender 7.2 2007.12.04 -
CAT-QuickHeal 9.00 2007.12.04 TrojanDownloader.Agent.ebw
ClamAV 0.91.2 2007.12.04 -
DrWeb 4.44.0.09170 2007.12.04 Trojan.NtRootKit.454
eSafe 7.0.15.0 2007.12.04 -
eTrust-Vet 31.3.5349 2007.12.04 -
Ewido 4.0 2007.12.04 -
FileAdvisor 1 2007.12.05 -
Fortinet 3.14.0.0 2007.12.04 W32/Agent.EBW!tr.dldr
F-Prot 4.4.2.54 2007.12.04 -
F-Secure 6.70.13030.0 2007.12.05 Trojan-Downloader.Win32.Agent.ebw
Ikarus T3.1.1.12 2007.12.04 Virus.Win32.Agent.MED
Kaspersky 7.0.0.125 2007.12.05 Trojan-Downloader.Win32.Agent.ebw
McAfee 5177 2007.12.04 -
Microsoft 1.3007 2007.12.03 VirTool:WinNT/Knockex.D
NOD32v2 2702 2007.12.05 -
Norman 5.80.02 2007.12.04 -
Panda 9.0.0.4 2007.12.04 Trj/Downloader.MDW
Prevx1 V2 2007.12.05 -
Rising 20.21.10.00 2007.12.04 -
Sophos 4.24.0 2007.12.04 -
Sunbelt 2.2.907.0 2007.12.04 Backdoor.Knockit
Symantec 10 2007.12.05 -
TheHacker 6.2.9.149 2007.12.04 Trojan/Downloader.Agent.ebw
VBA32 3.12.2.5 2007.12.04 Trojan-Downloader.Win32.Agent.ebw
VirusBuster 4.3.26:9 2007.12.04 Trojan.DL.Agent.LAE
Webwasher-Gateway 6.6.2 2007.12.04 Trojan.Rootkit.Gen[/code]
Дополнительная информация
File size: 2645 bytes
MD5: 66d83925b120ab0f37f5fe74e8f90a98
SHA1: f38f55a79dd52a036fcaac7f1d77da8917dee66a
PEiD: -
-
Простите за оплошность!
Я не думал, что все так круто и это существо такое нехорошеее, антивируса то нет.
Запрошеные файлы вроде бы отправил.
И этот windrvNT тоже кажется из этой компании.
-
windrvNT от фолдер лука ...
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00724 seconds with 10 queries