Неубиваемый Rootkit.Win32.Agent.p
Собственно, сабж. Могу только процитировать Ирину (05.01.2006):
"Антивирус Касперского обнаружил этот вирус в файле rdriv.sys, при попытке удаления его АВК появляется сообщение о том, что "удаление невозможно, объект заблокирован" и дальше "удалить невозможно, используется другим процессом".
Антивирусы не берут, надеюсь на вашу помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сообщение от
Slovich
Антивирусы не берут, надеюсь на вашу помощь.
пофиксите с помощью HijackThis следующие строки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [FX] E:\WINXP\Downloaded Program Files\ieloader.exe
O4 - HKLM\..\Run: [explorer] E:\WINXP\system32\explorer.exe -go -c34 -w4
O4 - HKLM\..\Run: [Microsoft Network Services Controller] E:\WINXP\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Microsoft Socks Support] E:\WINXP\System32\mssocks.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - E:\WINXP\System32\msc.cpl (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - E:\WINXP\System32\vbsys2 (file missing)
O23 - Service: InterBase Guardian (InterBaseGuardian) - Unknown owner - D:\InterBase\bin\ibguard.exe (file missing)
O23 - Service: InterBase Server (InterBaseServer) - Unknown owner - D:\InterBase\bin\ibserver.exe (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - E:\WINXP\MSmedia.exe
прислать по правилам форума файлы (искать из AVZ, включив противодействие руткитам):
E:\WINXP\Downloaded Program Files\ieloader.exe
E:\WINXP\system32\explorer.exe
E:\WINXP\System32\mmsvc32.exe
E:\WINXP\System32\mssocks.exe
E:\Program Files\Common Files\ARS Company\Agent\Agent.exe
C:\Recycled\Q678340.exe
c:\info6_s.cab
E:\WINXP\System32\vbsys2.dll
E:\WINXP\MSmedia.exe
E:\WINXP\system32\uxtheme.dll
E:\WINXP\System32\drivers\qbikhkXP.sys
E:\Program Files\themexp\Themexp.org File\NNEZTA388.exe
D:\Program Files\PRMTED\EDSel.dll
-некоторые зи присланных файлов являются вредоносными... их знает Dr.Web, воспользуйтесь им
С уважением,
Alex Plutoff
А. ПЛАТОВ
По DrWeb:
E:\WINXP\System32\mmsvc32.exe - BackDoor.Nanspy
c:\info6_s.cab - Trojan.GetObject.134
E:\WINXP\MSmedia.exe - BackDoor.IRC.Sdbot.773
E:\Program Files\themexp\Themexp.org File\NNEZTA388.exe - AdWare Adware.NewDotNet
E:\WINXP\System32\mssocks.exe - Trojan.Proxy.AE (BitDefender), Trojan-Spy.Win32.Banker.anv (Ikarus)