Трояны+непонятный файл t0.dll

**PavelA** · 24.09.2007, 14:17

Ndis - Trojan.Spamdes!inf (по Симантеку), патченный. Лечение его не прошло. Надо повторить.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 24.09.2007, 14:18

Извиняюсь, забыл еще одного зверька обработать

Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ServicePackFiles\services.exe','');
 DeleteFile('C:\WINDOWS\ServicePackFiles\services.exe');
 DeleteFile('C:\WINDOWS\System32\t0.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Новый карантин загрузите по правилам, и логи еще раз придется сделать.

Dev!L* · 24.09.2007, 14:20

Сообщение от Bratez

Извиняюсь, забыл еще одного зверька обработать

Выполните такой скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ServicePackFiles\services.exe','');
 DeleteFile('C:\WINDOWS\ServicePackFiles\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Новый карантин загрузите по правилам, и логи еще раз придется сделать.

вобщем делаю этот скрипт, плюс скрипт предложенный выше:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\NDIS.s ys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

И высылаю карантин с файлом NDIS. + 3 новых лога. Так?
И еще: выше написал - t0.dll не удаляется зараза.

**Bratez** · 24.09.2007, 14:24

Минутку, я изменю скрипт...

Добавлено через 2 минуты

Готово, выполняйте.

Dev!L* · 24.09.2007, 14:39

Также там с ним в этой же папке и блокнотовский файл t0
Толже в скрипте дописать строчку наверное надо. Он вроде бы с dll-ловским появляется. Файл *.ini

Добавлено через 14 минут

После выполнения скрипта
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\NDIS.s ys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end

Карантин пустой.

Удаление скриптом файла t0.dll и t0.ini прошло успешно. Это хорошо. Только как узнать - была ли эта основная часть вируса или это не главное. Или вирус может представлять собой такой файл dll и только? Подскажите, пожалуйста.
PS логи после проделанных двух последних скриптов делаю...скоро будут

**PavelA** · 24.09.2007, 14:54

Тот ndis.sys, что присылали зараженный.
Либо его прислали до запуска Patch, либо он опять заражен.
Основной в этом деле он.
Проверь ndis.sys на вирустотал. Результаты выложи сюда.

Новые логи, конечно, тоже нужны.

Dev!L* · 24.09.2007, 14:56

ВОт новые логи.
Карантин был пустой - а сейчас безобидный, по моему мнению, файл программы Punti Switcher. Посмотрите их, пожалуйста

А из всего зверинца что был остался 1 вирус получается?

Сообщение от PavelA

Тот ndis.sys, что присылали зараженный.

Либо его прислали до запуска Patch, либо он опять заражен.

Основной в этом деле он.

Проверь ndis.sys на вирустотал. Результаты выложи сюда.

Новые логи, конечно, тоже нужны.

Т оесть вирус подменил это тфайл драйвера своим?

**Bratez** · 24.09.2007, 15:04

В логах больше ничего подозрительного нет.
Можете выключить и удалить службу Reset 5 - это кряк от SP1, в SP2 смысла не имеет.

Dev!L* · 24.09.2007, 15:13

Сообщение от PavelA

Тот ndis.sys, что присылали зараженный.
Либо его прислали до запуска Patch, либо он опять заражен.
Основной в этом деле он.
Проверь ndis.sys на вирустотал. Результаты выложи сюда.

Новые логи, конечно, тоже нужны.

http://www.virustotal.com/ru/resulta...a979c65ae3c493
все чисто. Файл восстановлен данной мне прогой?

Добавлено через 50 секунд

Сообщение от Bratez

В логах больше ничего подозрительного нет.
Можете выключить и удалить службу Reset 5 - это кряк от SP1, в SP2 смысла не имеет.

Как это сделать? Просто я такого не видел.
ПС тихо, не палите с кряком

Добавлено через 4 минуты

И еще: у меня пофиксен с помощью HJ файл систем32/userinit.exe (не помню, кто-то из вас сказал так сделать) его так там и оставить висеть пофиксенным?

**Bratez** · 24.09.2007, 15:14

Как это сделать?

Открыть окно командной строки и набрать:
sc stop "reset 5"
sc delete "reset 5"
(именно так, с кавычками, после каждой строки нажать Enter).

**V_Bond** · 24.09.2007, 15:15

вы фиксили ...
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
все верно ...

Dev!L* · 24.09.2007, 15:17

Сообщение от Bratez

Открыть окно командной строки и набрать:
sc stop "reset 5"
sc delete "reset 5"
(именно так, с кавычками, после каждой строки нажать Enter).

как вы его обнаружили? Он в логах светился?

Сообщение от V_Bond

вы фиксили ...

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

все верно ...

Ок, оставляю все как есть

**PavelA** · 24.09.2007, 15:19

Сообщение от Dev!L*

как вы его обнаружили? Он в логах светился?

См. лог HijackThis

Dev!L* · 24.09.2007, 15:22

Спасибо всем огромное, надеюсь на этом проблемы окончатся. Как я понял, туперь AVZ и HJ у меня пусть остаются на компе.
Последнее - какой антивирус или мб просто прогу поставить против пободной дряни? Просто за эту неделю перепробоавал кучу анти-spyware прог и не все находили. А кто находил - удалял а потом заново начиналось.
ВОбщем что лучше всего поставить, чтоб обновлять можно было регулярно через инет.

**CyberHelper** · 22.02.2009, 02:29

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\\cd1041.nls - Trojan-Proxy.Win32.Pixoliz.na (DrWEB: Trojan.Spambot.2470)
2. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Agent.x (DrWEB: Trojan.Spambot)

Трояны+непонятный файл t0.dll (заявка № 12678)

Опции темы

Итог лечения

Похожие темы

Непонятный файл

Непонятный файл.

непонятный файл .sys

Непонятный файл.

непонятный фаил

Ваши права в разделе