DefLib.sys - инфицирован Trojan.NtRootKit.312

[zyxard]

Здравствуйте!
Каждый раз при запуске Windows XP dr. web говорит, что найден и удален Trojan.NtRootkit.312

В лог-е Др.Веб-а:

02-01-2008 04:11:26 [BG] C:\WINDOWS\system32\DefLib.sys - инфицирован Trojan.NtRootKit.312
02-01-2008 04:11:26 [BG] C:\WINDOWS\system32\DefLib.sys - исцелен

Также в лог-е (Но думаю все таки это к делу не относится):

02-01-2008 04:10:59 [CL] C:\Documents and Settings\Andrey\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - не удалось просканировать, доступ к файлу запрещен другой программой
02-01-2008 04:10:59 [CL] C:\Documents and Settings\LocalService\ntuser.dat - не удалось просканировать, доступ к файлу запрещен другой программой

Еще, не знаю важно ли:
Помимо прочего в компьютере (ноутбук) отмечена следующая особенность - из дома проблема с подключением к локальной сети провайдера на скорости 100 Мб/с, относительно можно поработать только если на сетевой карте установить скорость 10 Мб/с. Но при этом в интернете по протоколам http и ftp все грузится как на старом модеме (при том что канал должен быть 2,2 Мб/с). Только через bit-torrens все быстро грузится. При этом в корпоративной сети подобных проблем не отмечено. При 100Мб/с имеются проблемы с пингом сервера провайдера! Не все пакеты проходят

При этом в журнале системы появляются слудющие события:

Компьютеру не удалось обновить адрес, полученный от DHCP-cервера, для сетевого адаптера с сетевым адресом 000AE43AFBC7. Произошла следующая ошибка:
Превышен таймаут семафора. . Компьютер продолжит попытки получить свой собственный адрес от DHCP-cервера.

Компьютер автоматически настроил IP-адрес для сетевого адаптера с адресом 000AE43AFBC7. Используется IP-адрес 169.254.219.125.

Хотя это неверно!


Пожалуйста помогите.
Заранее благодарен!
Андрей

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
 QuarantineFile('C:\Documents and Settings\Andrey\desktop.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Afj37.sys','');
 QuarantineFile('c:\windows\system32\vhosts.exe','');
 QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
 QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
 QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\winlogon.exe','');
 DeleteFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\DefLib.sys');
 DeleteFile('C:\WINDOWS\system32\xpdx.sys');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
 DeleteFile('c:\windows\system32\vhosts.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Afj37.sys');
 DeleteFile('C:\Documents and Settings\Andrey\desktop.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\win32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('NdisWon');
BC_DeleteSvc('NdisWon');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

Сделайте новые логи.

[zyxard]

1. выполнил скрипт
2. комп перегрузился
3. карантин выслал
4. пофиксил указанный код
5. перегрузился
6. выполнил "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".
7. перегрузился
8. выполнил "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
9. выполнил HijackThis сформировал лог
10. выслал логи

[zerocorporated]

C:\DOCUME~1\Andrey\LOCALS~1\Temp\winlogon.exe - Trojan-Proxy.Win32.Small.ih


1.В avz выполнить скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\tphklock.dll','');
 QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 правил

[zyxard]

Карантин выслал

[Bratez]

Поищите файл notifyf2.dll через AVZ - Сервис - Поиск файлов на диске.
Если найдется - пришлите по правилам.

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('xpdx');
 BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys');
BC_Activate;
RebootWindows(true);
end.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

[zyxard]

спасибо! за помощь, но к сожалению уже не дождался ответа и переустановил Винду, т.к. до этого я ее тоже только установил, то мне было не принципиально, только в этот раз установил Др.Веб еще до подключения к сети.

сеть на 100 Мб/с так и не заработала, но это уже наверное не к вам.

еще раз спасибо за поддержку.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\docume~1\\andrey\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.ih (DrWEB: Trojan.Packed.573)