-
Junior Member
- Вес репутации
- 61
Не могу избавиться отWin32/Rootkit.Agent.NDF(DP)
Здравствуйте!
Очень прошу вас помочь мне похожей как у EL Lobo проблеме, решённой сегодня. Суть моей:
Обновлённый неделю назад NOD32 каждый раз при перезагрузке системы находит и удаляет троянов Win32/Rootkit.Agent.DP (файл
С:\Windows\Sistem32\drivers\ip6fw.sys) и Win32/Rootkit.Agent.NDF (файл С:\Windows\Sistem32\drivers\runtime.sys). Проявляются они то оба,то по одиночке. Иногда находится какой-то зловредный ключ из реестра. Вирусы проявляются то по одному,то вместе. После их появления компьютер стал жутко тормозить. Диспетчер задач показал, что систему грузит на 99% установленный, но не запущенный ни мной ни атозагрузкой QuickTimeTSK. После удаления QuickTimeTSK тормоза вроде бы пропали. Кроме того файрвол Oupost3 предупреждает, что скрытый процесс запрашивает исходящее соединение (процесс:iexplore.exe;запущен:c:\Windows\TEMP\STAR TDRV.EXE).
После блокировки файрволом - процесс пытается стучаться по разным портам без остановки.
Думаю,что в одиночку мне не справиться с проблемой.
Буду очень благодарен за помощь.
Последний раз редактировалось dmpog; 13.12.2007 в 23:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)
O16 - DPF: Win32 Classes -
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winstart.bat','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ip6fw.sys','');
QuarantineFile('C:\Documents and Settings\Дмитрий\Local Settings\Temp\302965.exe','');
QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bn.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\winstart.bat');
BC_ImportDeletedList;
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил.
Добавлено через 8 минут
Скачайте программу WinSockxpFix:
http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
но пока не запускайте.
Последний раз редактировалось Bratez; 23.10.2007 в 15:54.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Добрый вечер! Извините,что немного задержался с ответом.
Выполнил ваше руководство, отслал карантин, скачал WinSockxpFix
(не запускал).
После перезагрузок системы NOD32 опять находит C:\WINDOWS\SYSTEM32\DRIVERS\ip6fw.sys - Win32/Rootkit.Agent.DP троян. Хотя сетевая активность изменилась.
Outpost показывает слабые попытки связи через netbios при отключенном соединении.
Высылаю вам новые логи для объективной информации.
Последний раз редактировалось dmpog; 13.12.2007 в 23:32.
-
Стало немного почище
В карантине:
302965.exe - Rootkit.Win32.Agent.ey
rsvp32_2.dll - Trojan.Win32.Agent.axo
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: bnreg - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Дмитрий\Local Settings\Temp\302965.exe');
DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
DelSPIByFileName('rsvp32_2.dll',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки еще один:
Код:
begin
ExecuteRepair(14);
RebootWindows(true);
end.
После этого, если пропадет связь с локалкой и/или интернетом, воспользуйтесь скачанной программой (запустить, нажать Fix), только предварительно запишите настройки сетевых подключений, т.к. она их сбрасывает.
Поищите с помощью AVZ (Сервис - Поиск файлов на диске) эти файлы:
walign.exe
setupx.dll
Если найдутся - пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Состояние намного улучшилось!
После выполнения процедур, запуска WinSockxpFix, искал walign.exe , setupx.dll. Файлы не нашлись. Проверил диски обновлённым NODом и AVZ. Руткитов не обнаружил.
Прошу вас проверить прикреплённые логи для контроля.
Последний раз редактировалось dmpog; 13.12.2007 в 23:32.
-
В логах практически чисто.
1. Удалите задание в Планировщике (Панель управления - Назначенные задания).
2. В AVZ откройте Менеджер ActiveSetup и удалите строчку с упоминанием setupx.dll.
3. Проверим на всякий случай еще пару файлов. Выполните скрипт:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\PROGRA~1\TOPSUR~1\twsband.dll','');
QuarantineFile('D:\Оля\OMS\ShlExt.dll','');
end.
и пришлите карантин по правилам.
4. Посмотрите, что нужно / не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Лишнее отключим.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Карантин после выполнения процедур выслан. Интересно, что там обнаружилось.Отключил ненужные службы. Деятельности троянов не видно.
Я очень благодарен вам за профессиональную помощь.
-
По рзультатам проверки на virustotal:
ShlExt.dll - чистый
twsband.dll обругали два антивируса
ClamAV 0.91.2 2007.10.25
Adware.BHO-26
DrWeb 4.44.0.09170 2007.10.25
Trojan.StartPage.origin
Отправил файл в ЛК, но думаю и так ясно, что ничего хорошего.
Если в Установка/удаление программ есть что-то вроде TopSurfer Toolbar, удалите его обычным образом. Если нет - предлагаю удалить его таким скриптом:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\PROGRA~1\TOPSUR~1\twsband.dll');
BC_DeleteFile('C:\PROGRA~1\TOPSUR~1\twsband.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и пофиксить в HijackThis:
Код:
O3 - Toolbar: &TopSurfer - {AF657644-964C-4348-A8AD-72524B3A3FF1} - C:\PROGRA~1\TOPSUR~1\twsband.dll
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Я грешным делом подумал,что злыдней всех вывели.
Спасибо, что не оставляете в беде. NODом пользуюсь уже несколько лет. Видать не справляется иноземец.
Сделал всё,что вы рекомендовали. Прикрепляю логи для контроля.
Последний раз редактировалось dmpog; 13.12.2007 в 23:32.
-
Ну вот теперь чисто!
Для пущей стерильности эти две службы в "отключено" поставьте:
Код:
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
и мы вас выписываем .
Если что - заходите еще.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Ещё раз хочу поблагодарить вас за оказанную помощь .