Показано с 1 по 12 из 12.

Trojan.NtRootKit.312 в файле deflib.sys (заявка № 12160)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    33
    Вес репутации
    61

    Thumbs up Trojan.NtRootKit.312 в файле deflib.sys

    При проверке DrWeb - CureIT удаляет Trojan.NtRootKit.312 из файла C:\WINDOWS\system32\DefLib.sys
    и после перезагрузки снова находит и удаляет его на том же месте
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    сказано было в правилах :перед выполнением логов отключить антивирусы и все программы кроме браузера!
    1.отключить антивирус.
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
     QuarantineFile('C:\windows\system32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\System32\DefLib.sys','');
     QuarantineFile('C:\DOCUME~1\carol\LOCALS~1\Temp\RarSFX6\316OfUdx.sys','');
     QuarantineFile('c:\docume~1\carol\locals~1\temp\winlogon.exe','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     QuarantineFile('c:\windows\system32\gcc.exe','');
     KillProcess(1888);
     DeleteFile('c:\docume~1\carol\locals~1\temp\winlogon.exe');
     DeleteFile('C:\DOCUME~1\carol\LOCALS~1\Temp\RarSFX6\316OfUdx.sys');
     DeleteFile('C:\WINDOWS\System32\DefLib.sys');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     BC_DeleteSvc('MsUpdate');
     BC_DeleteSvc('FCI');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    3.Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12160

  4. #3
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    33
    Вес репутации
    61
    простите за антивирус)
    CureIT больше ничего не находит. Спасибо!
    карантин отправила.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Сделайте логи еще раз.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Это ещё не всё
    Система больно дырявая с морально устаревшей защитой, считай никакой. SP2 когда будем ставить ?
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\windows\system32\drivers\protect.sys');
     DeleteFile('c:\windows\system32\gcc.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи, как в первом вашем сообщении.
    Последний раз редактировалось drongo; 04.09.2007 в 00:56.

  7. #6
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    33
    Вес репутации
    61
    логи до выполнения второго скрипта (если они нужны)
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    33
    Вес репутации
    61
    скрипт выполнила, SP2 установила, логи:
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь почти все в порядке.

    1. Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    2. Посмотрите это:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Если что-то из перечисленного нужно - скажите, остальное поправим.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    33
    Вес репутации
    61
    1. пофиксила, большое спасибо!
    2. из этого ничего не нужно

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    KerroL,
    1.Поставьте антивирус и файрвол или 2 в одном, симантек старый удалить- он только ресурсы ест и как видно не помогает

    2.Вот скрипт для закрытия лишних дырок:
    Код:
     begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    3.Чтобы уменьшить шанс заражения, советуем на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    33
    Вес репутации
    61
    антивирус и файрвол переставлю,
    скрипт выполнила, большое спасибо,
    советы буду выполнять)

    файл отправила.

    Огромное Вам спасибо за вашу помощь!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\carol\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.fz (DrWEB: Trojan.Packed.147)
      2. c:\\windows\\system32\\deflib.sys - Trojan.Win32.Agent.asu (DrWEB: Trojan.NtRootKit.312)
      3. c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
      4. c:\\windows\\system32\\gcc.exe - Email-Worm.Win32.Mydoom.bj (DrWEB: Trojan.Spambot.2424)
      5. c:\\windows\\system32\\msvcrtd.exe - Backdoor.Win32.Agent.bew (DrWEB: Trojan.Packed.170)


  • Уважаемый(ая) KerroL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.NtRootKit.1653 в файле synsenddrv.sys
      От powercom625 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.07.2009, 11:47
    2. Trojan.NtRootKit.1653 в файле synsenddrv.sys
      От dudes в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 09:00
    3. DefLib.sys - инфицирован Trojan.NtRootKit.312
      От zyxard в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:17
    4. Trojan.NtRootKit.312 в deflib.sys
      От alester в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 02:29
    5. Trojan.NtRootKit.248 в файле ksys.sys
      От RomulN в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 02:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01564 seconds with 20 queries