Показано с 1 по 7 из 7.

Win32\Dotex с руткитом. (заявка № 14780)

  1. #1
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    9
    Вес репутации
    40

    Exclamation Win32\Dotex с руткитом.

    Привет всем! В особенности хелперам.
    Как бы это не банально звучало, но у меня проблемка. (Как говорил персонаж небезызвестной игры "А у кого их нет..."). Проблема заключается в черве.
    Вот маленькая предыстория:
    Жил был у меня NOD32, работал хорошо, ни с кем не конфликтовал. (Стучать по дереву, дабы не сглазить поздно). Решил испробовать Касперского 7, но он по тогда еще по неведомой причине не запустился. Тогда я вновь решил установить Nod32. Но вдруг после установки и перезагрузки выпало сообщение, что всеми любимый и многоуважаемый процесс lsass сдох. Так продолжалось до тех пор, пока я не удалил Nod32 в безопасном режиме. Конечно, вывод напрашивается сам: либо Nod32 с кем то конфликтует, либо у него личные неприязненные отношение с lsass. (Но в социально опасного Nod32 либо в конфликтующий призрак Касперского мне не верится). Случайно наткнулся на прогу UnHackMe. Нашла мне Win32 Dotex, который, по ее мнению, мешает установке антивирусов. По причине своей недоделанности, удалить она червя не может. AVZ, как это не странно, найти его не может. Вот адрес червя: C:\WINDOWS\system32\drivers\.exe – помогите его убить! Мало того, ему иногда не нравится комбинация Ctrl+Alt+Delete,он блокирует доступ в интернет («модем уже используется»). Svchost ОЧЕНЬ странно ведет себя в интернете.
    Пахнет, я бы даже сказал «воняет», проделками руткита. Помогите кто может!

    Возможно некоторые меня вспомнят по сумасшедшим логам –я вам уже когда-то писал. Но что было, то было. (Точнее это «что» еще есть).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    пришлите карантин собранный AVZ .... virusinfo_cure.zip
    у вас стоит большое количество защитных программ(антируткитов) + хвосты авира ... помноженное на аутпост это делает систему не предсказуемой ...
    попробуйте удалить это все .... думаю жить станет намного легче ....

  4. #3
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    9
    Вес репутации
    40

    А вот и я!

    Вы не смотрите на "Колян" (в логах то нет) -пришлось просить его все отправлять в прошлый раз).
    Дабы вам было удобней читать, разобью это письмо на три части (Как говорила наша математичка «Порядок в тетради, порядок в голове»).
    1) 2/3 программ я удалил. Антивируса нет, и уж не по моей воли; антишпиона с защитой в реальном времени нет.
    2) Агнитум удалить не могу. Раз я тут оказался, можно упомянуть и об этой проблеме:
    Когда выхожу в интернет без аутпоста, выпадает синенький экранчик стоп-ошибки. Svchost, когда выходит в интернет, ну в общем такое ощущение, что он где то застрял или сел на мель в одном из портов –система по-страшному тормозит. Однажды Агнтитум выдал сообщение об атаке (6 портов просканировали!), и однажды я случайно застал его (хост) за попыткой пробиться к тому IP. Вроде не пропатченный –размер оригинальный. В чем может быть дело?
    3) Тут у меня существо какое-то странное… Вроде бы ничего плохого не делает, а тип все равно довольно таки подозрительный. Вы не могли бы проверить?

    PS: А вы не могли бы накатать скрипт удаления файла C:\WINDOWS\system32\drivers\.exe ? (Только удаления сразу после перезагрузки). На душе будет спокойнее…
    Последний раз редактировалось pig; 05.12.2007 в 02:17. Причина: Удалён архив со зловредом.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1294
    Для предъявления существ есть ссылка над темой. "Прислать запрошенные файлы" называется. А из темы уберите, незачем ему тут маячить. Вдруг и в самом деле вредитель.

    Да и не вдруг, а именно вредитель. Trojan.NtRootKit.454 (Dr.Web)
    На вынос его.

    Добавлено через 14 минут

    Вердикт от VirusTotal:
    Код:
    Файл nso12k.rar получен 2007.12.05 00:21:04 (CET)
    Результат: 16/32 (50%)
    
    Антивирус Версия Обновление Результат
    AhnLab-V3 2007.12.5.0 2007.12.04 -
    AntiVir 7.6.0.34 2007.12.04 TR/Rootkit.Gen
    Authentium 4.93.8 2007.12.04 -
    Avast 4.7.1098.0 2007.12.04 Win32:Agent-MED
    AVG 7.5.0.503 2007.12.04 Downloader.Agent.UAK
    BitDefender 7.2 2007.12.04 -
    CAT-QuickHeal 9.00 2007.12.04 TrojanDownloader.Agent.ebw
    ClamAV 0.91.2 2007.12.04 -
    DrWeb 4.44.0.09170 2007.12.04 Trojan.NtRootKit.454
    eSafe 7.0.15.0 2007.12.04 -
    eTrust-Vet 31.3.5349 2007.12.04 -
    Ewido 4.0 2007.12.04 -
    FileAdvisor 1 2007.12.05 -
    Fortinet 3.14.0.0 2007.12.04 W32/Agent.EBW!tr.dldr
    F-Prot 4.4.2.54 2007.12.04 -
    F-Secure 6.70.13030.0 2007.12.05 Trojan-Downloader.Win32.Agent.ebw
    Ikarus T3.1.1.12 2007.12.04 Virus.Win32.Agent.MED
    Kaspersky 7.0.0.125 2007.12.05 Trojan-Downloader.Win32.Agent.ebw
    McAfee 5177 2007.12.04 -
    Microsoft 1.3007 2007.12.03 VirTool:WinNT/Knockex.D
    NOD32v2 2702 2007.12.05 -
    Norman 5.80.02 2007.12.04 -
    Panda 9.0.0.4 2007.12.04 Trj/Downloader.MDW
    Prevx1 V2 2007.12.05 -
    Rising 20.21.10.00 2007.12.04 -
    Sophos 4.24.0 2007.12.04 -
    Sunbelt 2.2.907.0 2007.12.04 Backdoor.Knockit
    Symantec 10 2007.12.05 -
    TheHacker 6.2.9.149 2007.12.04 Trojan/Downloader.Agent.ebw
    VBA32 3.12.2.5 2007.12.04 Trojan-Downloader.Win32.Agent.ebw
    VirusBuster 4.3.26:9 2007.12.04 Trojan.DL.Agent.LAE
    Webwasher-Gateway 6.6.2 2007.12.04 Trojan.Rootkit.Gen
    Дополнительная информация
    File size: 2645 bytes
    MD5: 66d83925b120ab0f37f5fe74e8f90a98
    SHA1: f38f55a79dd52a036fcaac7f1d77da8917dee66a
    PEiD: -
    Последний раз редактировалось pig; 05.12.2007 в 02:28. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    9
    Вес репутации
    40

    Простите за оплошность!

    Я не думал, что все так круто и это существо такое нехорошеее, антивируса то нет.
    Запрошеные файлы вроде бы отправил.
    И этот windrvNT тоже кажется из этой компании.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    windrvNT от фолдер лука ...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    955

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Колян, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите с руткитом
      От Бусидо в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.05.2010, 00:00
    2. Неравный бой с руткитом
      От SHRIKE в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.06.2009, 17:00
    3. Проблемка с руткитом
      От Suslik's в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 08:25
    4. Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 8
      Последнее сообщение: 07.09.2006, 19:29
    5. Описание вирусов: Net-Worm.Win32.Padobot.z с встроенным руткитом
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 06.08.2005, 14:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00261 seconds with 17 queries