Показано с 1 по 10 из 10.

Trojan.NtRootKit.319 в файле c:\windows\system32\drivers\secdrv.sys (заявка № 11740)

  1. #1
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    16
    Вес репутации
    38

    Thumbs up Trojan.NtRootKit.319 в файле c:\windows\system32\drivers\secdrv.sys

    Начались подозрения на вирус/троян. Попытался полечить сначала свежим cureit.exe. Просто переименовал найденные 2 вируса. Не помогло. Internet Explorer перестал грузить страницы.

    После этого нашел этот сайт и аккуратно выполнил все инструкции по шагам.

    Загрузку Страниц IE зафиксил с помощью WinsockFix.exe

    Теперь при запуске cureit.exe все равно находится Trojan.NtRootKit.319 в файле c:\windows\system32\drivers\secdrv.sys

    Помогите корректно избавиться от всех остатков вирусов.
    Могу ли я просто переписать файл c:\windows\system32\drivers\secdrv.sys с другого чистого компьютера на котором тоже XP?

    Andrey

    P.S. RemoteAdmin удалять не нужно. Я его использую:
    C:\WINDOWS\System32\r_server.exe
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Мама\Local Settings\Temp\ieupdate.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
     QuarantineFile('\??\C:\WINDOWS\System32\ANIO.SYS','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\secdrv.sys','');
     QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
     QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
     DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
     DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
     DeleteFile('\SystemRoot\System32\DRIVERS\secdrv.sys');
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     AutoFixSPI;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    Добавлено через 3 минуты

    Корень проблемы:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    В логах точно заметны эксплоиты для необновленногого IE, видимо через него произошло заражение.
    Последний раз редактировалось Kuzz; 17.08.2007 в 00:29. Причина: Добавлено
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    16
    Вес репутации
    38
    Для загрузки файла воспользовалcя этим сервисом, т.к. по инструкции выдает ошибку закачки


    После лечения обновлю OS SP2 и IE
    Последний раз редактировалось Alex_Goodwin; 19.08.2007 в 18:26.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Вредоносов скриптом должно было убить.
    Повторите логи пожалуйста.
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    16
    Вес репутации
    38
    логи скоро будут....
    Скажете по получении насколько это было опасно?
    Украденные пароли? Разрушение файлов?

    Вот на что ругался cureit после первого запуска:

    c:\windows\system32\drivers\secdrv.sys infected with Trojan.NtRootKit.319 - user denied cure
    c:\windows\system32\y1.dll infected with Trojan.Sespy - user denied cure
    C:\1.tmp infected with Trojan.Proxy.2003 - deleted

  7. #6
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    16
    Вес репутации
    38
    похоже, что то еще нечисто....
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\ntos.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Удалите карантин ДрВеба - папка
    C:\Documents and Settings\dron.GALAXY-HOME\DoctorWeb

    Сделайте еще раз логи.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    16
    Вес репутации
    38
    Логи. Похоже ничего не поменялось

    Возможно ли при дальнейшем исследовании пропускать шаг сканирования ВСЕГО винта? Он занимает минут 40.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    16
    Вес репутации
    38
    1) Я правильно понимаю, что обновлять систему (SP2 и IE7+) стоит после полного излечения?
    2) Какие деструктивные действия выполняла эта зараза?

    Спасибо за ваше благое дело

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего подозрительного .... прочитайте http://security-advisory.newmail.ru/ там вы найдете большинство ответов ...

  • Уважаемый(ая) TkachukA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.NtRootKit.1653 в файле synsenddrv.sys
      От dudes в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 09:00
    2. Ответов: 8
      Последнее сообщение: 22.02.2009, 04:13
    3. Trojan.NtRootKit.312 в файле deflib.sys
      От KerroL в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:21
    4. Trojan.NtRootKit.248 в файле ksys.sys
      От RomulN в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 02:08
    5. Ответов: 7
      Последнее сообщение: 03.10.2007, 10:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00089 seconds with 17 queries