нечто пытается создавать rdriv.sys, который определяется как Trojan.Nt.RootKit.61
В один "прекрассный" момент на машине с Win2000pro sp2 rus обнаружил. что SpaderGuard блокирует файл winnt\system32\rdriv.sys, который определяет как Trojan.Nt.RootKit.61
Попытка лечить его DrWeb-ом ни в обычном, ни в безопасном режиме Винды не увенчалась успехом, т.к. после перезагрузки rdriv.sys сова появляется и блокируется Спайдером. Проверка всех файлов свежим DrWeb-ом никаких других вирусов или подозрений на них не дает.
Каких либо деструктивных действий на машине пока не замечено, но все-равно озадачивает такая ситуация.
Файлы соглсно правилам прилагаю.
PS Аналогичная штука наблюдается еще на одной машине в нашей локалке, но там Спайдер (видимо, настройки у него иначе поставлены) не блокирует rdriv.sys, а успешно лечит. Файл появляется вновь, Спайдер его лечит... и так бесконечно. Т.е. какая-то зараза его все время создает/заражает, но сама остается "в тени"...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Собственно это драйвер для руткит-маскировки, и его лечвение сводится к удалению. Раз процесс повторяется - значит, есть некое приложение, которое пытается его установить.
Пришлите согласно правилам файлы:
d:\winnt\msmedia.exe
D:\WINNT\AppPatch\Win2kPropagateLayer.dll
System32\s3lc2x.dll
Наш подозреваеемый - пости наверняка msmedia.exe, это видно по его анализу:
Анализатор - изучается процесс 748 D:\WINNT\MSmedia.exe
[ES]:Возможно Malware, нейрооценка = 5000
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
[ES]:Предположительно может модифицировать параметры Firewall и безопасности
[ES]:Содержит детектор отладчика и утилит мониторинга ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Пришлите согласно правилам файлы:
d:\winnt\msmedia.exe
D:\WINNT\AppPatch\Win2kPropagateLayer.dll
System32\s3lc2x.dll
Сделал.
Единственно что, я не по новой в карантин их помещал, а взял из того. что автоматом ранее AVZ сама закарантинила. Или надо обязательно по новой, как в Приложении 2 правил написано?
Сделал.
Единственно что, я не по новой в карантин их помещал, а взял из того. что автоматом ранее AVZ сама закарантинила. Или надо обязательно по новой, как в Приложении 2 правил написано?
msmedia.exe = Backdoor.Win32.Agobot.afk.
Необходимо:
1. Закрыть все программы, запустить AVZ, активировать AVZ Guard
2. Остановить процесс msmedia.exe в диспетчере процессов AVZ и удалить его исполняемый файл d:\winnt\msmedia.exe отложенным удалением
3. Перезагрузиться, не отключая AVZGuard и не выходя из AVZ
После чистки запустил еще раз сканирование компа и AVZ находит system32\drivers\ujm3nzg1.sys распознанный как "перехватчик KernelMode". Причем оный файл не в одном экземпляре в "отчете" появляется, а штук 7...
Может ли это быть "хвостом" трояна? Надо ли его тоже удалить?
На второй зараженной машине там же аналогичный файл(-ы), но имя c несколько другими буковками...
Почему у всех мания срзу удалить , может что-то интерстное , вдруг новая жизнь : Или может грубое удаление приведёт к краху системы . Подозрительные файлы нужно присылать !
Для каждой машины следует открывать новую тему с новыми логами .
После чистки запустил еще раз сканирование компа и AVZ находит system32\drivers\ujm3nzg1.sys распознанный как "перехватчик KernelMode". Причем оный файл не в одном экземпляре в "отчете" появляется, а штук 7...
Может ли это быть "хвостом" трояна? Надо ли его тоже удалить?
На второй зараженной машине там же аналогичный файл(-ы), но имя c несколько другими буковками...
Это драйвер AVZ, он видится, если сканироватьсистему при включенном AVZ Guard. А в карантин не копируется, так как AVZ соображает, что это его компонента и она не опасна ... кстати в логе он должен писать, что драйвер не опасен.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: