Hacktool.Rootkit tcpsr.sys

Printable View

16.05.2008, 11:02
Пенни

Hacktool.Rootkit tcpsr.sys

Hacktool.Rootkit
C:\WINDOWS\system32\drivers\tcpsr.sys

Доброе утро, помогите плиз.
Симантек определяет вирус, но после перегруза, он появляется снова. Нод32 так же не помог.
16.05.2008, 11:04
akok

[url]http://virusinfo.info/showthread.php?t=1235[/url]
16.05.2008, 11:12
Пенни

хм...вкладывал вложение..
16.05.2008, 11:14
Rene-gad

[QUOTE=Пенни;227780]хм...вкладывал вложение..[/QUOTE]Если у Вас проблема с закачкой логов - закачайте их на любой файлообменник и дайте тут ссылку.
16.05.2008, 11:15
Shu_b

[QUOTE=Пенни;227780]хм...вкладывал вложение..[/QUOTE]

посмотрите там [url]http://virusinfo.info/profile.php?do=editattachments[/url]
если есть, удалите, попробуйте ещё раз.
если так и не получиться загрузите туда - [url]http://virusinfo.ifolder.ru/[/url]
16.05.2008, 11:21
Пенни

Вложений: 3

спасибо. удалил, залил заново.

жду советов :>
16.05.2008, 11:31
Гриша

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: yvbb01 - yvbb01.dll (file missing)
O20 - Winlogon Notify: yvpp01 - yvpp01.dll (file missing)[/CODE]

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:WinNt32.dlll(если будет такой WinNt32.dl_ его тоже удалите),Gmr51.sys,tcpsr.sys,правая кнопка мыши Force Delete.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('yvpp01.dll','');
QuarantineFile('yvbb01.dll','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('LogCrypt.dll','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpsr.sys',' ');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rxd73.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oty73.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Gmr51.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('Gmr51');
DeleteService('Oty73');
DeleteService('Rxd73');
DeleteService('smtpdrv');
DeleteService('tcpsr ', );
DeleteService('runtime2');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Gmr51.sys');
DeleteFile('C:\WINDOWS\system32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oty73.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rxd73.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('WinNt32.dll');
DeleteFile('LogCrypt.dll');
DeleteFile('ovrscn.dll');
DeleteFile('yvbb01.dll');
DeleteFile('yvpp01.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc ('Gmr51');
BC_DeleteSvc ('Oty73');
BC_DeleteSvc ('Rxd73');
BC_DeleteSvc ('smtpdrv');
BC_DeleteSvc ('tcpsr ', );
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22941[/url]

Повторите логи.
16.05.2008, 12:05
Пенни

Вложений: 3

Пофиксил, Карантин постал. Логи прилагаю :)
16.05.2008, 12:13
drongo

вот это C:\WINDOWS\system32\yvbb01.sys найдите и скопируйте по правилам- прислать.
16.05.2008, 12:41
Пенни

[quote=drongo;227818]вот это C:\WINDOWS\system32\yvbb01.sys найдите и скопируйте по правилам- прислать.[/quote]

простите, а как? если файла уже нет...
16.05.2008, 12:48
drongo

[quote=Пенни;227833]простите, а как? если файла уже нет...он ведь был ФорсДелитом убран.[/quote]

жалко, больше так не делайте не прислав нам копию.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Почистить следы:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\yvbb01.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('yvbb01');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
16.05.2008, 12:50
Пенни

[quote=drongo;227834]жалко, больше так не делайте не прислав нам копию.[/quote]
а копии чего и когда надо было присылать ?..вроде после первых логов файлы прислать не просили, а после, как я понимаю, они потёрлись в процессе исправлений.
16.05.2008, 14:13
Гриша

Повторите все логи...
22.02.2009, 05:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\rxd73.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][/LIST][/LIST]