Показано с 1 по 13 из 13.

Rootkit.Win32.Agent.irp не могу справится (заявка № 44335)

  1. #1
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    6
    Вес репутации
    55

    Exclamation Rootkit.Win32.Agent.irp не могу справится

    В компе появился Rootkit.Win32.Agent.irp, так его определяет KAV.
    KAV бессилен его вычистить. Он определяет зараженный файл, лечит его или удалаяет, но вирус создает новые файлы в папке win/system32/driver и проверка затягивается на неопределенное время. Сам KAV пишет, что проверка будет завершена через трое суток.
    Созданные вирусом файлы (до 20 000 штук за сутки) имеют одно расширение .sys и один размер 21 664 b. Я их удаляю без возможности восстановления, но вирус создает новые.
    и еще момент - при подключении интернет вирус начинает что-то передавать в сеть - объем исходящего трафика (по показаниям счетчика) составляет до 70 мб за 10 минутный сеанс. Что он передает и как - не знаю.
    Прошу помочь. С уважением...
    К сему прилагаю логи:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('digeste.dll','');
     DeleteService('tpfhqpnta');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteService('tcpsr');
     DeleteService('lkanwl');
     DeleteService('mogvxxv');
     DeleteService('hapsdbrvz');
     DeleteService('dtgzkcnkn');
     QuarantineFile('C:\WINDOWS\system32\07.tmp','');
     QuarantineFile('C:\WINDOWS\system32\01.tmp','');
     DeleteService('byojkry');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ati4ejxx.sys','');
     DeleteService('ati4ejxx');
     QuarantineFile('C:\WINDOWS\System32\drivers\arq07b5.sys','');
     DeleteService('arq07b5');
     DeleteFile('C:\WINDOWS\System32\drivers\arq07b5.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati4ejxx.sys');
     DeleteFile('C:\WINDOWS\system32\01.tmp');
     DeleteFile('C:\WINDOWS\system32\07.tmp');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('digeste.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи.
    Загрузить карантин по ссылке http://virusinfo.info/upload_virus.php?tid=44335
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    6
    Вес репутации
    55
    выполнил, высылаю.
    вирус создал новые файлы, типа gbd78ad.sys 21664 б
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\drivers\gbd78ad.sys','');
    DeleteFile('C:\WINDOWS\System32\drivers\gbd78ad.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('ids5d4e');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    6
    Вес репутации
    55
    Скрипт выполнил. После перезагрузки появились новые файлы в папке //driver Список файлов, которые были созданы или изменены после перезагрузки в паке win/sistem32/driver/ прилагаю в формате .pdf
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    6
    Вес репутации
    55
    Перечень после выполнения всех операция и отсылки логов в win/sistem32/driver/ прилагаю в формате .pdf
    Вложения Вложения

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    kl1.sy - очень странный у Вас драйвер сидит.
    Строка из лога:
    >>Функция NtOpenFile (74) перехвачена (805715E7->F83E9030), перехватчик kl1.sy

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(true);
    BC_DeleteSvc('rmcf15e');
    DeleteFile('C:\WINDOWS\System32\drivers\qlgc5cb.sys');
    QuarantineFile('C:\WINDOWS\System32\drivers\qlgc5cb.sys','');
     QuarantineFile('kl1.sy','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    6
    Вес репутации
    55
    Выполнил, высылаю.
    Карантин высылаю тоже
    Вложения Вложения

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто, установите SP3+all updates...

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Надо только еще разок сделать полную проверку Касперским.
    В карантин пара левых драйверов влетело, пусть а/вирус с ними разбереться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    22.04.2009
    Сообщений
    6
    Вес репутации
    55
    проверку сделал, Касперский обнаружил еще кучу зараженных файлов в паке /driver. список прилагаю/
    Такое ощущение, что касперский отлавливает зараженный файл, лечит его, удалаяет, а вирус создает новый. и так по кругу. Изначально у меня касперский проверял комп и назначил окончание проверки через трое суток. а зараженных файлов за последние три дня - более 30 000.
    Я думаю - касперский удаляет следствие, а причина - вирус, остается не тронутым и генерирует новые зараженные файлы .sys
    что делать

    Цитата Сообщение от PavelA Посмотреть сообщение
    kl1.sy - очень странный у Вас драйвер сидит.
    Строка из лога:
    >>Функция NtOpenFile (74) перехвачена (805715E7->F83E9030), перехватчик kl1.sy

    kl1.sys - драйвер касперского. я его сдуру (или от отчаянья) удалил, теперь половина касперского (сетевой экран и так далее) НЕ РАБОТАЕТ.
    Если можно вышлите новый файл. копии не сохранилось, а дистрибутив - не доступен. у меня стоит kav 7.0
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 23.04.2009 в 13:44.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Sanya K Посмотреть сообщение
    у меня стоит kav 7.0
    Удалите, установите КАВ 8 Попробуйте сначала установить 7-ку по новой: http://www.kaspersky.ru/productupdat...pter=186544972 Зайдите в Панель управления/приложения, нажмите против КАВ Удалить. ИМО там есть опция Воостановить или Ремонтировать.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\mheff1d.sys - Rootkit.Win32.Agent.irp ( DrWEB: Trojan.NtRootKit.2881, BitDefender: Rootkit.Otlard.A )
      2. c:\windows\system32\drivers\nipf654.sys - Rootkit.Win32.Agent.irp ( DrWEB: Trojan.NtRootKit.2881, BitDefender: Rootkit.Otlard.A )


  • Уважаемый(ая) Sanya K, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу убить Rootkit.Win32.Agent.zzs
      От bokor в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.01.2010, 17:08
    2. не могу избавится Win32/Rootkit.Agent.ODG nod32 4.0.417.0
      От Banzy в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 17.06.2009, 17:53
    3. не могу справится с hacktool rootkit
      От SHTIL в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 03:45
    4. не могу удалить Win32/Rootkit.Agent.DP
      От Cort в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:22
    5. Не могу избавиться от Rootkit.Win32.Agent
      От Gazni в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01598 seconds with 20 queries