Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Rootkit.Win32.Agent.p (заявка № 4393)

  1. #1
    Irina
    Guest

    Rootkit.Win32.Agent.p

    Антивирус Касперского обнаружил этот вирус в файле rdriv.sys, при попытке удаления его АВК появляется сообщение о том, что "удаление невозможно, объект заблокирован" и дальше "удалить невозможно, используется другим процессом".
    В безопасном режиме запускала сканирование АВК, Ad-Aware, AVZ. Но в отчете последнего говорится "удаление файла запрещено настройками".
    При запуске полной проверки компьютера АВК в отчете появился помимо зараженного файла ...\system32\rdriv.sys еще и ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab"
    При запуске в обычном режиме программы АВЗ для сканирования и исследования системы компьютер обе попытки вылетал, так что удалось сохранить только лог Hijack.
    Помогите, пожалуйста!
    я еще раз попробовала сохранить лог АВЗ -вроде бы получилось
    Вложения Вложения
    Последний раз редактировалось Irina; 05.01.2006 в 14:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    1. Нужно прислать нам файлы:
    bnmiqvee.exe
    D:\WINDOWS\win32ssr.exe

    2. Что делают остатки ДрВеб? Он был установлен раньше? Была сделана деинсталяция перед установкой КАВ?
    3. Если АВЗ работает в безопасном режиме - сделать логи в безопасном режиме. В том числе лог сканирования

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Irina
    Вот эти файлы, а Др.Веб удаляла перед КАВ кажется деинсталятором
    кто-нибудь файлы видел?

  5. #4
    Irina
    Guest
    Посмотрите, пожалуйста, еще раз

  6. #5
    Geser
    Guest
    Файлы выслать как написано в правилах. На email!

  7. #6
    Irina
    Guest
    Извините, я пароль не сделала для архива

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Irina
    Извините, я пароль не сделала для архива
    - значит не дойдёт.

    d:\windows\system32\bnmiqvee.exe
    Прислать нам

    потом зайти в Safe mode и стереть
    в Hijack поставить галки напротив -
    O4 - HKLM\..\Run: [Microsoft Update 32] bnmiqvee.exe
    O4 - HKLM\..\RunServices: [Microsoft Update 32] bnmiqvee.exe
    и нажать на Fix
    PS: Sdbot очередной - свежий

    Кстати этот мусор по почте свалился, его не мешает ещё и в почтовом ящике найти и тоже удалить.
    Последний раз редактировалось RiC; 05.01.2006 в 15:40.

  9. #8
    Irina
    Guest
    А вы не подскажете как сделать пароль, чтоб все дошло? и куда вам прислать?
    А что такое: Sdbot очередной - свежий ?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Irina
    А вы не подскажете как сделать пароль, чтоб все дошло? и куда вам прислать?
    Прислать - как в правилах написано -
    virus@virusinfo.info, пароль virus
    Цитата Сообщение от Irina
    А что такое: Sdbot очередной - свежий ?
    Червяк такой в интернете бегает, называется SDBot, это свежая версия, потому как касперский его пока не ловит.

  11. #10
    Irina
    Guest
    Подскажите, пожалуйста, как и где установить этот пароль?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Irina
    Подскажите, пожалуйста, как и где установить этот пароль?
    Правила -
    Приложение 4. Поиск файлов при помощи AVZ.
    1. Выберите "Файл"-"Добавление в карантин по списку".
    2. В верхнем окне введите список файлов которые Вас просили прислать.
    3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
    4. Закройте текущее окно "Добавление в карантин по списку"
    5. Выберите из меню "Файл"->"Просмотр карантина".
    6. Справа в списке файлов отметьте те файлы которые хотите выслать.
    7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
    8. Полученный архив нужно выслать на virus@virusinfo.info

  13. #12
    Irina
    Guest
    Теперь отправила и удалила, все что сказали

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Присланные (оба - Win32.HLLW.MyBot.based /drweb/)
    d:\windows\system32\bnmiqvee.exe
    D:\WINDOWS\win32ssr.exe

    AntiVir Found nothing
    ArcaVir Found nothing
    Avast Found nothing
    AVG Antivirus Found nothing
    BitDefender Found nothing
    ClamAV Found Trojan.Spybot-123
    Dr.Web Found Win32.HLLW.MyBot.based
    F-Prot Antivirus Found nothing
    Fortinet Found nothing
    Kaspersky Anti-Virus Found nothing
    NOD32 Found a variant of Win32/Rbot
    Norman Virus Control Found nothing
    UNA Found nothing
    VBA32 Found nothing

  15. #14
    Irina
    Guest
    Подскажите, что это значит и нужно ли сделать что-то еще?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Shu_b
    D:\WINDOWS\win32ssr.exe
    Вот, под драйвера начал маскироваться
    пуск/выполнить 2 команды
    sc stop Win32Sr
    sc delete Win32Sr
    потом стереть - D:\WINDOWS\win32ssr.exe
    и повторить логи на проверку.
    Последний раз редактировалось RiC; 05.01.2006 в 17:23.

  17. #16
    Irina
    Guest
    Цитата Сообщение от RiC
    потом стереть - D:\WINDOWS\win32ssr.exe
    и повторить логи на проверку.
    а этот файл не удаляется, появляется "снимите защиту от записи"
    можно ли удалить его из 98-ой системы?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Irina
    а этот файл не удаляется, появляется "снимите защиту от записи"
    Тогда так -
    AVZ - Файл->Отложенное удаление -> D:\WINDOWS\win32ssr.exe
    Перезагрузка
    Пуск/выполнить - в этом случае только 1-ну команду
    sc delete Win32Sr

    Если есть 98-я - даже нужно.
    Последний раз редактировалось RiC; 05.01.2006 в 17:31.

  19. #18
    Irina
    Guest
    Вот результаты+ отчет о сканировании через АВЗ, через "выполнить" я выполнила обе команды, а удалила через отложенное удаление.
    Вложения Вложения

  20. #19
    Geser
    Guest
    Ну и, проблемы остались или пропали?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Irina
    Вот результаты+ отчет о сканировании через АВЗ, через "выполнить" я выполнила обе команды, а удалила через отложенное удаление.
    Судя по логам - чисто.
    Визуально проблемы остались ?

  • Уважаемый(ая) Irina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43
    5. Win32/Rootkit.Agent.DP, Win32/Rootkit.Agent.EY и Win32/WigonX
      От vook в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01303 seconds with 17 queries