Показано с 1 по 5 из 5.

Словил руткит (necsort.sys), AVZ вроде все выловил, но подозрения остались (заявка № 17211)

  1. 30.01.2008, 11:23 #1
    reviver
    reviver вне форума
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    2
    Вес репутации
    60

    Question Словил руткит (necsort.sys), AVZ вроде все выловил, но подозрения остались

    Не посмотрите логи?
    sptd - это от алкоголя
    а вот mssrv32.exe - это что такое? AVZ пишет что имя подозрительное.

    Карантин прислал.
    Вложения Вложения
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
  3. 30.01.2008, 11:51 #2
    wise-wistful
    wise-wistful вне форума
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните скрипт в АВЗ

    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\qgzx.dll','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\F7C87_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\F7A10_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\DF1A0_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\4168B_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\40F94_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2D358_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2871FD_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\25A31_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\24D3E_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\22B86_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2137B6_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21361B_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21348B_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2132E6_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\213123_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\212D12_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\212B09_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21295B_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2127CA_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2124E5_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\212354_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2121BA_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211FCF_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211E3E_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211B59_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211979_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211658_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2114D1_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21117E_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210EAD_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210CB8_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210BAA_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210A2D_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21075C_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2105B7_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210413_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20FE5D_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20F6EE_0.DLL','');
 QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
 QuarantineFile('C:\WINDOWS\system32\necsort.sys','');
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20F63A_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206B14_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206A60_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206998_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206894_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20673F_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20664F_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206540_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206428_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206283_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20612F_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20600C_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\205D95_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\183CFA_0.DLL','');
 QuarantineFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\183472_0.DLL','');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\183472_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\183CFA_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\205D95_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20600C_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20612F_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206283_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206428_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206540_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20664F_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20673F_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206894_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206998_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206A60_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\206B14_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20F63A_0.DLL');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS\system32\necsort.sys');
 DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20F6EE_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\20FE5D_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210413_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2105B7_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21075C_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210A2D_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210BAA_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210CB8_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\210EAD_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21117E_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2114D1_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211658_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211979_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211B59_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211E3E_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\211FCF_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2121BA_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\212354_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2124E5_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2127CA_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21295B_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\212B09_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\212D12_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\213123_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2132E6_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21348B_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\21361B_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2137B6_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\22B86_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\24D3E_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\25A31_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2871FD_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\2D358_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\40F94_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\4168B_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\DF1A0_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\F7A10_0.DLL');
 DeleteFile('C:\DOCUME~1\6133~1.RIV\LOCALS~1\Temp\F7C87_0.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
    Загрузите карантин согласно п.3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=17211
    Последний раз редактировалось wise-wistful; 30.01.2008 в 12:30.
  4. 30.01.2008, 12:43 #3
    V_Bond
    V_Bond вне форума
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1524
    и еще ...
    выполните скрипт ...
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\DOWNLO~1\KillCopy\kcresume.exe','');
 QuarantineFile('c:\program files\180solutions\sais.exe','');
 QuarantineFile('C:\WINDOWS\system32\qgzx.dll','');
 DeleteFile('C:\WINDOWS\system32\qgzx.dll');
 BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

    Добавлено через 47 минут

    в карантине ...
    C:\WINDOWS\system32\necsort.sys Rootkit.Win32.Agent.vl
    C:\WINDOWS\system32\mssrv32.exe Trojan-Downloader.Win32.Small.hzt
    Последний раз редактировалось V_Bond; 30.01.2008 в 12:43. Причина: Добавлено
  5. 30.01.2008, 23:37 #4
    reviver
    reviver вне форума
    Junior Member Репутация
    Регистрация
    30.01.2008
    Сообщений
    2
    Вес репутации
    60
    Скрипты выполнил.
    этих фалов в системе не было видимо только ключики в реестре остались:
    c:\program files\180solutions\sais.exe
    C:\WINDOWS\system32\qgzx.dll
    C:\WINDOWS\system32\KB_963491.exe

    карантин выслал с файлами, помещенными по результатам последней проверки
    Вложения Вложения
  6. 22.02.2009, 03:45 #5
    CyberHelper
    CyberHelper вне форума
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 64
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\админ.rivex-1\\doctorweb\\quarantine\\a0118928.exe - not-a-virus:AdWare.Win32.EZula.z (DrWEB: Adware.Ezula)
      2. c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Small.hzt (DrWEB: Trojan.DownLoader.35134)
      3. c:\\windows\\system32\\necsort.sys - Rootkit.Win32.Agent.vl (DrWEB: Trojan.NtRootKit.767)

  • Уважаемый(ая) reviver, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

    • « Предыдущая тема | Следующая тема »

    Похожие темы

    1. Вроде бы руткит
      От prohil в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 15.05.2011, 15:29
    2. Подозрения что вирусы остались (К)
      От Delion в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.03.2010, 16:14
    3. Internet Security после вроде остались вирусы
      От aytishnik в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.01.2010, 23:12
    4. Руткит ...вроде бы
      От giggs в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:42
    5. Переустановил систему, но проблемы вроде остались.
      От U_M_A в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.10.2008, 21:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  

    Правила форума

    Page generated in 0.00918 seconds with 20 queries