Показано с 1 по 18 из 18.

norton находит deflib.sys (вирус hacktool.rootkit - по нортону)Trojan.Win32.Agent.asu - касперский (заявка № 12123)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61

    Thumbs up norton находит deflib.sys (вирус hacktool.rootkit - по нортону)Trojan.Win32.Agent.asu - касперский

    Система: Windows XP SP2 (англ.) с критическими обновлениями вплоть до 27-авг-2007г. включительно. Компьютер: нотбук Acer Aspire 5570Z (если важно.) Norton Antivirus 2005 (firewall windows заменен на нортоновский).

    Norton Antivirus 2005 (renewal date: 01.09.2007) находит C:\WINDOWS\system32\DefLib.sys как вирус Hacktool.Rootkit, удаляет, но после перезагрузки, файл появляется заново.
    Проверил файл по ссылке: http://www.kaspersky.ru/scanforvirus
    написал, что есть вирус Trojan.Win32.Agent.asu

    Когда нортон включен сразу после загрузки компа через пару секунд начинается посылаться какие-то письма куда-то (нортон сканирует какие-то исходящие письма): при этом я сразу выключаю сеть, причем эти письма посылаются и при удаленном этом файле (deflib.sys).
    Сделал все как расписано в инструкции тут: http://virusinfo.info/showthread.php?t=1235
    Причем DrWeb-CureIt! в безопасном режиме нашел только вирус Trojan.NTRootkit.361 в файле C:\windows\system32\drivers\protect.sys и удалил его. После перезагрузки этот файл снова появился, который Norton как вирус не распознает.
    Выкладываю virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log.

    Помогите, пожалуйста, избавиться от Trojan.Win32.Agent.asu.
    Хотелось бы знать также, что этот троян делает, какие действия: ворует пароли или что еще?
    Суважением, Гурген
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
     QuarantineFile('protect.sys','');
     QuarantineFile('cpwmon2k.dll','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\docume~1\gurgen\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\docume~1\gurgen\locals~1\temp\winlogon.exe');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Карантин по правилам.
    3. Пофиксите:
    O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
    Последний раз редактировалось Alex_Goodwin; 02.09.2007 в 18:37.

  4. #3
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    Спасибо, сделал, как сказано:
    отключил восстановление системы и все программы, включая антивирус.
    1) выполнил скрипт
    2) "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", потом перезагрузился
    3) "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
    4) профиксил O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe и перезагрузился
    Потом снова запустил hijackthis смотрю этот msvcrt.exe еще сидит там
    сделал фикс как описано тут: http://virusinfo.info/showthread.php?t=4491
    Delete an NT servise - пишет, что такого сервиса нету.
    Потом зашел в безопасном режиме, снова проверил DrWeb-CureIt!-ом, опять пишет сообщение, что найден вирус Trojan.NTRootkit.361 в файле C:\windows\system32\drivers\protect.sys Потом DrWeb его удалил, перезагрузился, снова этот файл сидит.
    Кстати не удалился и файл cpwmon2k.dll. Нортон эти файлы, как вирусы не распознает.
    Проверил через http://www.kaspersky.ru/scanforvirus эти два файла, отписался, что все чисто.
    Проверил через http://www.drweb.ru/scan/ эти два файла. По файлу protect.sys пишет, что есть вирус Trojan.NTRootkit.361. По файлу cpwmon2k.dll все чисто.

    Вроде никаких писем больше не отсылает, DefLib.sys исчез, а locals~1\temp\winlogon.exe' нету в списке стартапа. Потом проверил windows norton-ом, ничего не обнаружил.
    Спасибо большое.

    На всякий случай, выкладываю новые логи:
    Вложения Вложения
    Последний раз редактировалось Gurgen; 02.09.2007 в 20:11. Причина: новая информация

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Карантин где?
    2. Все на месте
    3. Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\SystemRoot\System32\Drivers\aw93v5r6.SYS','');
    DeleteFile('\SystemRoot\System32\drivers\protect.sys');
    DeleteFile('C:\WINDOWS\system32\msvcrtd.exe');
    DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    3. Пофиксить:
    O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
    O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
    Последний раз редактировалось Alex_Goodwin; 02.09.2007 в 20:43.

  6. #5
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    выложил карантин (4 файла).
    Выкладываю также: C:\WINDOWS\system32\cpwmon2k.dll
    заархивированном виде с password-ом virus.
    Файл C:\WINDOWS\system32\svchost.exe:ext.exe не смог добавить в архив, пишет используется.
    Последний раз редактировалось Alex_Goodwin; 02.09.2007 в 20:57.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Вы выполнили мой последний скрипт? выложите логи.
    Карантин надо выкладывать по правилам!!!

  8. #7
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    3. Пофиксить:

    Цитата:
    O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
    O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
    Повторил все до фикса.
    023 - Servise: FCI - И так далее, а также svchost.exe:ext.exe в списках Jacka нету уже. Они пропали после проделывания последнего скрипта.
    Посылаю новый карантин, там добавились 2 файла.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    вот таким был последний скрипт. вы его выполнили? Сделайте логи снова.
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\SystemRoot\System32\Drivers\aw93v5r6.SYS','');
    DeleteFile('\SystemRoot\System32\drivers\protect.sys');
    DeleteFile('C:\WINDOWS\system32\msvcrtd.exe');
    DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.

  10. #9
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Вы выполнили мой последний скрипт? выложите логи.
    Карантин надо выкладывать по правилам!!!
    Скрипт выполнил, выкладываю логи.
    ясно, но этот файл не смог добавить в карантин, поэтому выложил его.
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    вот таким был последний скрипт. вы его выполнили? Сделайте логи снова.
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\SystemRoot\System32\Drivers\aw93v5r6.SYS','');
    DeleteFile('\SystemRoot\System32\drivers\protect.sys');
    DeleteFile('C:\WINDOWS\system32\msvcrtd.exe');
    DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
    DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.

    Да, именно его и выполнил.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Это еще есть вирус Email-Worm.Win32.Mydoom.bj - i386kd.exe
    Это было троянская программа Trojan-Proxy.Win32.Small.fz
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\i386kd.exe');
    DeleteFile('\SystemRoot\System32\drivers\protect.sys');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Сделайте новые логи!
    Последний раз редактировалось Alex_Goodwin; 02.09.2007 в 21:33.

  13. #12
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Вроде все чисто. Как ощущения?
    Вроде все нормально.
    Меня одно настораживает только, этот файл C:\WINDOWS\system32\drivers\protect.sys
    Во-первых, DrWeb-CureIt! распознает его как вирус Trojan.NTRootkit.361, про которого ничего не нарыл в инете.
    Он этот файл находит, пишет, что заражен, удаляет, делаю рестарт, этот файл снова появляется. Кстати, он единственный в папке drivers, который hidden.

    А, так, и в процессах щас ничего подозрительного не нахожу, и вроде ничего не отсылается, система дышит ровно вроде.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    См. мое предыдущее сообщение.

  15. #14
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Это еще есть вирус Email-Worm.Win32.Mydoom.bj - i386kd.exe
    Это было троянская программа Trojan-Proxy.Win32.Small.fz
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\i386kd.exe');
    DeleteFile('\SystemRoot\System32\drivers\protect.sys');
    ExecuteSysClean;
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Сделайте новые логи!

    Все, сделал, выкладываю логи.
    В карантине ничего не найдено.
    файл C:\WINDOWS\system32\drivers\protect.sys пропал.
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    Спасибо огромное!
    Вроде все чисто.
    Чем могу я быть полезен вам?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Сделаем кое-какую оптимизацию системы :
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    после скрипта компьютер перезагрузится.

    В логах ничего подозрительного больше нет,если проблема пропала то лечение можно считать законченным.
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  18. #17
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    10
    Вес репутации
    61
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи![/quote]


    2 раза закачал файл virusinfo_files_WSK1.zip сюда http://virusinfo.info/upload_clean.php , но никакого отчета не последовало, поэтому выложил тут: http://nver.ru/avz/virusinfo_files_WqLkinQ1.zip

    размер: 11,2 MB (11 829 248 bytes)
    имя файла: virusinfo_files_WqLkinQ1.zip

    Благодарности Вам.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\gurgen\\local settings\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.fz (DrWEB: Trojan.Packed.147)
      2. c:\\docume~1\\gurgen\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.fz (DrWEB: Trojan.Packed.147)
      3. c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
      4. c:\\windows\\system32\\i386kd.exe - Email-Worm.Win32.Mydoom.bj (DrWEB: Trojan.Spambot.2424)


  • Уважаемый(ая) Gurgen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 17.06.2010, 16:15
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:11
    3. Касперский находит Deflib.exe, trojan.win32.agent.asu
      От lodyr в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:14
    4. Вирус Hacktool.Rootkit в DefLib.sys
      От mm1234 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.01.2008, 11:45
    5. Ответов: 12
      Последнее сообщение: 23.10.2007, 04:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00059 seconds with 18 queries