Каждый раз после перезагрузки компьютера в папке с:\Windows\system32\drivers Доктор Веб находит зараженный этим вирусом драйвер tcpsr.sys - после удаления и перезагрузки файл появляется снова!
Printable View
Каждый раз после перезагрузки компьютера в папке с:\Windows\system32\drivers Доктор Веб находит зараженный этим вирусом драйвер tcpsr.sys - после удаления и перезагрузки файл появляется снова!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('Nfi66');
SetServiceStart('Nfi66', 4);
StopService('tcpsr');
SetServiceStart('tcpsr', 4);
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mnm11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Say44.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dra44.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nfi66.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\Program Files\Avant Browser\ie_updates3r.exe','');
DeleteFile('C:\Program Files\Avant Browser\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dra44.sys');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Say44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mnm11.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_ImportALL;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Say44');
BC_DeleteSvc('Mnm11');
BC_DeleteSvc('grande48');
BC_DeleteSvc('Dra44');
BC_DeleteSvc('Nfi66');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=22726[/url]).
Сделайте новый лог syscheck (п.10 правил).
* На время выполнения скриптов и подготовки карантина интернет и антивирус необходимо отключить.
После выполнения скрипта и перезагрузки и поключения к интернету появились следующие вирусы:
C:\Windows\system32\cbOCR.dll - заражен Trojan.Cacha
C:\Windows\system32\drivers\tcpsr.sys - заражен Trojan.NTRootKit.1070
C:\Windows\TEMP\BN1.tmp - заражен Trojan.Rntm.6
Раньше обнаруживался только Trojan.NTRootKit.1070
Сделайте новые логи.
Новые логи
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Nfi66');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nfi66.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи начиная с пункта 10 правил...
Новые логи
Отключите антивирус и интернет!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:Nfi66.sys,WinNt32.dll,tcpsr.sys,правая кнопка мыши Force Delete,на запрос о перезагрузке ответьте положительно,затем выполните скрипт из поста №6 [url]http://virusinfo.info/showpost.php?p=226248&postcount=6[/url]
Повторите логи.
Перезагрузился и Доктор Веб опять нашел Trojan.NTRootKit.1070 в файле tcpsr.sys...
дрвеб отключить перед исполнением скрипта не забыли?
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксить в hijackthis: [/url]
[code]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll[/code]
не перегружаясь выполнить скрипт в авз
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Nfi66.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteSvc('Nfi66');
BC_DeleteSvc('tcpsr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]
После скрипта от [B]drongo[/B] сделайте новый лог по пункту 8 правил.
Амиконовского фарвола у вас случайно нет ?
новый лог...
Когда я искал при помощи Ice Sword файл WinNt32.dll чтобы удалить в этой же папке был файл WinNt32.dl_ такого же размера - его нужно удалять?
По-мойму, теперь все получилось - по крайней мере трафик больше никто не жрет - большое спасибо за помощь!
WinNt32.dl_ - да, удалите.
Руткиты удалены.
Кое-что можно проверить.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\CARTMA~1.SCR','');
QuarantineFile('c:\windows\system32\ncfpsys.exe','');
QuarantineFile('c:\program files\avant browser\iexplore.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=22726[/url] ).
Сделайте новый лог Hijackthis.
лог HijackThis...
Аналики отвли что CARTMA~1.SCR, ncfpsys.exe, iexplore.exe - чистые. проблемы какие-то наблюдаются?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]36[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\avant browser\\ie_updates3r.exe - [B]Trojan-Downloader.Win32.Winlagons.hp[/B] (DrWEB: Trojan.DownLoader.based)[*] c:\\windows\\system32\\winnt32.dll - [B]Trojan-Downloader.Win32.Mutant.vo[/B] (DrWEB: BackDoor.Bulknet.188)[*] c:\\windows\\temp\\csrssc.exe - [B]Trojan.Win32.Agent.gmo[/B] (DrWEB: BackDoor.Siggen.2)[/LIST][/LIST]