Руткиты забодали

**Catabras** · 23.12.2007, 23:20

Нод32 при перезагрузки кричал о наличии Win32/Rootkit.Agent.DP (файл С:\Windows\System32\drivers\ip6fw.sys) и Win32/Rootkit.Agent.NDF (файл С:\Windows\System32\drivers\runtime.sys). А также Win32/Rootkit.Agent.NCR (С:\Windows\Siystem32\DefLib.sys). Внешние проявления: полные тормоза системы при загрузки, не контролируемый сетевой трафик. Тормоза убрать удалось, а вот сетевой трафик ....?
Просканировал троицей НОД32-CureIt-AVZ. Данные вирусы перестали появляться при сканировании НОД32. Убрал бреши в безопасности. Оставил только автозагрузку с CD-ROM (Были аналоги в других темах)
Посмотрите, пожалуйста, профессиональным взглядом на прилагаемые логи. Что еще почистить надо ?

Буду очень признателен, если уделите внимание моей проблеме!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 23.12.2007, 23:27

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\undname.exe','');
 QuarantineFile('ke64boot.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
 QuarantineFile('c:\docume~1\user\locals~1\temp\winlogon.exe','');
 DeleteFile('c:\docume~1\user\locals~1\temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\DefLib.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('ke64boot.dll');
 BC_DeleteSvc('protect');
 BC_DeleteSvc('DefLib');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**Catabras** · 24.12.2007, 18:33

Спасибо за ответ!
Скрипт выполнил! Карантин заархивировал и выслал. В карантине только winlogon почему-то был, его и выгрузил.
Жду Вашего окончательного диагноза

**Bratez** · 24.12.2007, 18:44

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\undname.exe,
O20 - Winlogon Notify: ke64boot - ke64boot.dll (file missing)

и сделайте новые логи.

**CyberHelper** · 22.02.2009, 03:11

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\docume~1\\user\\locals~1\\temp\\winlogon.exe - Trojan-Dropper.Win32.Mudrop.fl (DrWEB: Trojan.Spambot.2384)

Руткиты забодали (заявка № 15588)

Опции темы

Руткиты забодали

Итог лечения

Похожие темы

Руткиты

Руткиты...

Руткиты

Руткиты

HELP! Руткиты

Ваши права в разделе