Показано с 1 по 10 из 10.

Помогите избавиться от последствий win32x.sys Trojan.NTRootKit.1601 (заявка № 44907)

  1. #1
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    5
    Вес репутации
    32

    Thumbs up Помогите избавиться от последствий win32x.sys Trojan.NTRootKit.1601

    Собственно сабж.
    DrWeb 5.0.1.02160 находил в %userprofile%\Temporary Internet Files гадость и удалял. Однако, все-равно win32x.sys "пролез" в C:\WINDOWS\system32. После удаления, осталось 2 проблемы:
    1. Логон происходит очень долго (после ввода пароля около 2 минут) для любого пользователя. В безопасном режиме- нормально.
    2. Через Пуск->Выполнить не запускается regedit. И такое в печатление, что перезапускается процесс explorer (исчезает панель задач, раб стол и через 2-3 секунды появляется). Через Far "C:\WINDOWS\regedit.exe" - стартует нормально, но так же с некотрой задержкой.
    3. До лечения, пытался откатиться через контрольную точку на неделю или месяц назад- не получалось по ошибке, "не удалось восстанвить систему, поропбуйте другую контрольнуюя точку".

    Все действия согласно интсрукции сделаны:
    setup_7.0.0.290_30.04.2009_20-49.exe - ничего не нашел.
    avz.exe при работе нашел и удалил C:\w\win32x.sys , котрый оставил в безопасном режиме специально, с задумкой по нему найти описание зловредности и откатить руками все действия, ну да ладно...

    =Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;  
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\start\svchost.exe');
     QuarantineFile('c:\windows\system32\start\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\gdi16.dll','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\Distr_офис\ftp\gipnet\key\KeyFinder.exe','');
     QuarantineFile('C:\Distr_офис\MailErmakova2008-06-05\The Bat!\Mail\elenaabb\Attach\price_new.zip','');
     QuarantineFile('C:\Distr_офис\ПК Ермакова\MAIL\elenaabb\Attach\price_new.zip','');
     QuarantineFile('C:\Distr_офис\ПК_Жарова\Рабочий стол\документы по клиентам\подробности.exe','');
     QuarantineFile('C:\Program Files\The Bat!\Mail\techno@soyuz.msk.ru\Attach\price04-Jun-2007.zip','');
     QuarantineFile('C:\Program Files\The Bat!\Mail\tva@soyuz.msk.ru\Attach\00000001.MSG','');
     DeleteFile('c:\windows\system32\start\svchost.exe');
     DeleteFile('C:\Distr_офис\ftp\gipnet\key\KeyFinder.exe');
     DeleteFile('C:\Distr_офис\MailErmakova2008-06-05\The Bat!\Mail\elenaabb\Attach\price_new.zip');
     DeleteFile('C:\Distr_офис\ПК Ермакова\MAIL\elenaabb\Attach\price_new.zip');
     DeleteFile('C:\Program Files\The Bat!\Mail\techno@soyuz.msk.ru\Attach\price04-Jun-2007.zip');
     DeleteFile('C:\Program Files\The Bat!\Mail\tva@soyuz.msk.ru\Attach\00000001.MSG');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteRepair(13);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44907

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    5
    Вес репутации
    32

    Сделано.

    -Восстановление системы отключено, согласно Пункту 5. Правил и не включалось.
    -Скрипт выполнен
    -Перезагрузка прошла
    -Логон - долгий...
    Карантин выслан:
    Результат загрузки
    Файл сохранён как 090501_130203_virus_49faba8b6a75a.zip
    Размер файла 478797
    MD5 655dd8e6b595787c9a69b6d9a4e24d0f
    Файл закачан, спасибо!
    Логи повторить из директории
    ..\avz4\LOG
    ??
    не совсем понял- они теже, нужно заново было провести диагностику согласно правил и прислать новые логи?

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от gru Посмотреть сообщение
    не совсем понял- они теже, нужно заново было провести диагностику согласно правил и прислать новые логи?
    Да.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    5
    Вес репутации
    32

    Повторные логи

    Сабж
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\Distr_офис\ПК_Жарова\Рабочий стол\документы по клиентам\подробности.exe');
     DeleteFileMask('%tmp% ','*.* ',true );
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    Больше ничего зловредного в логах нет.

    Добавлено через 1 минуту

    Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
    Последний раз редактировалось Aleksandra; 01.05.2009 в 13:00. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    5
    Вес репутации
    32

    Спасибо!

    ЗЫ. По-видимому, не запкск редактора реестра и долгтй логон- по другим причинам

    Код выполнен, 4ый скрипт выполнил, по инструкции, выложил...

    Результат загрузки
    Файл сохранён как 090501_141643_virusinfo_files_ROOT_49facc0b39dde.z ip
    Размер файла 3288350
    MD5 0cbc0926315495751af029ff3ec01725

    Файл закачан, спасибо!
    Последний раз редактировалось gru; 01.05.2009 в 13:19. Причина: Добавлен ответ

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    01.05.2009
    Сообщений
    5
    Вес репутации
    32
    Спасибо!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\distr_офис\ftp\gipnet\key\keyfinder.exe - not-a-virus:PSWTool.Win32.RAS.g ( BitDefender: Application.Findkeyxp.P )
      2. c:\distr_офис\mailermakova2008-06-05\the bat!\mail\elenaabb\attach\price_new.zip - Email-Worm.Win32.Bagle.de ( DrWEB: archive: Win32.HLLM.Beagle.35146, BitDefender: Win32.Bagle.CZ@mm )
      3. c:\distr_офис\пк ермакова\mail\elenaabb\attach\price_new.zip - Email-Worm.Win32.Bagle.de ( DrWEB: archive: Win32.HLLM.Beagle.35146, BitDefender: Win32.Bagle.CZ@mm )
      4. c:\distr_офис\пк_жарова\рабочий стол\документы по клиентам\подробности.exe - Trojan.Win32.Buzus.axfc ( DrWEB: Trojan.PWS.LDPinch.4182 )
      5. c:\program files\the bat!\mail\techno@soyuz.msk.ru\attach\price04-jun-2007.zip - Email-Worm.Win32.Bagle.gt ( DrWEB: archive: Win32.HLLM.Beagle, BitDefender: Win32.Bagle.1497 )
      6. c:\program files\the bat!\mail\tva@soyuz.msk.ru\attach\00000001.msg - Email-Worm.Win32.NetSky.aa
      7. c:\windows\system32\gdi16.dll - Trojan.Win32.Agent.ceea ( DrWEB: Trojan.Siggen.2243 )
      8. c:\windows\system32\start\svchost.exe - Backdoor.Win32.Agent.afzn
      9. c:\windows\system32\userinit.exe - Trojan.Win32.Agent2.ivz ( DrWEB: Trojan.MulDrop.29377 )


  • Уважаемый(ая) gru, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 19.02.2010, 16:05
    2. Ответов: 2
      Последнее сообщение: 21.12.2009, 16:29
    3. Trojan.NtRootKit.319, не могу избавиться
      От Mitiz в разделе Помогите!
      Ответов: 62
      Последнее сообщение: 22.02.2009, 02:15
    4. Как избавиться от Trojan.NtRootKit.312
      От Baster в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.02.2008, 03:38
    5. Не могу избавиться от Trojan.NtRootKit.61
      От Visavi в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.01.2006, 11:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01367 seconds with 17 queries