Показано с 1 по 15 из 15.

Борьба с ROOTkit.Win32.Agent.p в файле rdriv.sys (заявка № 6468)

  1. #1
    Junior Member Репутация
    Регистрация
    14.10.2006
    Сообщений
    9
    Вес репутации
    64

    Thumbs up Борьба с ROOTkit.Win32.Agent.p в файле rdriv.sys

    Подцепил эту заразу и не могу никак вылечить. Согласно рекомендациям с сайта Касперского:
    1. Удалить файл:%system%\rdriv.sys
    2. Удалить следующие ключи реестра: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\rdriv]
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_RDRIV]
    3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
    не увенчалась успехом, т.к.
    1. эти ключи в любом режиме не удаляются;
    2. после перезагрузки rdriv.sys снова появляется и блокируется KAV. Проверка всех файлов никаких других вирусов или подозрений на них, кроме этого файла не дает.

    IE после загрузки закрывается с ошибкой через сек. 30. FireFox работает нормально. При подключении к Инету кто-то активно создает трафик в обе стороны.

    Грузился в другой системе (Вин98, с др. диска), проверял файлы. С Live диска с WinXP (iNFR@ CD PE) смотрел реестр, не помогло. В каталоге с Виндой создается скрытый каталог "CSC", который не удаляется.

    На машине стоит KAV 5 WorkStation. Базы обновляются постоянно (через 3 часа). Файрвола вначале не было, затем ставил OutPost 4, он начал парноидально блокировать все. И Миранду и Бат и любой браузер. MuxaSoft Dialer ему не понравился, не давал ему звонить. Пришлось удалить.

    Файлы согласно правилам прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Пофиксите в HijackThis строки:

    O2 - BHO: XBTP00364 - {2F16DE49-9D33-4849-B812-2ED38C9BCE15} - (no file)
    O3 - Toolbar: (no name) - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
    O9 - Extra button: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
    O9 - Extra 'Tools' menuitem: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)

    Далее AVZ - AVZGuard - включить AVZGuard.
    Через файл-стандартные скрипты выполните скрипт нейтрализации rootkit user и kernel mode.
    Через файл - добавление в карантин по списку добавьте
    d:\winnt\taskmgr.exe
    D:\Program Files\Aditor\aditor.dll

    Через файл - отложенное удаление файла удалите

    d:\winnt\taskmgr.exe, подтвердив удаление ссылок на него в системе.

    Перезагрузите компьютер, не выходя из AVZ и не отключая AVZGuard, пришлите как описано в правилах запрошенные файлы и повторите лог из п. 10 правил.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    D:\WINNT\system32\r_server.exe сами ставили ?

  5. #4
    Junior Member Репутация
    Регистрация
    14.10.2006
    Сообщений
    9
    Вес репутации
    64

    Arrow

    Цитата Сообщение от drongo
    D:\WINNT\system32\r_server.exe сами ставили ?
    Да, сам, нужен для работы

  6. #5
    Junior Member Репутация
    Регистрация
    14.10.2006
    Сообщений
    9
    Вес репутации
    64

    Arrow

    Цитата Сообщение от drongo
    Через файл - добавление в карантин по списку добавьте
    D:\Program Files\Aditor\aditor.dll
    Так это от текстового редактора, его зачем трогать???

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Если знаете что это и сами устанавливали, - не присылайте.

  8. #7
    Junior Member Репутация
    Регистрация
    14.10.2006
    Сообщений
    9
    Вес репутации
    64

    Arrow

    Цитата Сообщение от HATTIFNATTOR
    ... пришлите как описано в правилах запрошенные файлы и повторите лог из п. 10 правил.
    Файл ясно как высылать, а что делать с логом? С тем же файлом вместе высылать или как по другому???

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Прикрепить так же как и в первом посте.

  10. #9
    Junior Member Репутация
    Регистрация
    14.10.2006
    Сообщений
    9
    Вес репутации
    64

    Arrow Новый лог AVZ

    Упс, борьба утомила, туплю немного...
    Прикрепляю...
    Готово!

    Да и теперь трафик стабилизировался и стоит на 0, пока ничего левого не качается!!! И KAV молчит как партизан!

    И вот о чем вспомнил... Есть упоминания о файлах klif.sys & a347.sys. Сдается мне, что они тоже из той же оперы и их надо пустить под нож!!!

    Может поставить Sygate Personal Firewall 5???
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    a347bus.sys
    кажеться от эмулятора типа алкоголя .
    klif.sys от каспера .
    так что не всех нужно под нож

    Cтенка Seagate к сожилению не поддерживаеться , пробуйте другие , тот же комодо . попробуйте и отпишитесь о впечетлениях , говорят ничего так стал .

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Если нет проблемы с трафиком пришлите файлы для добавления в базу безопасных, как описано тут, - http://virusinfo.info/index.php?page=upload_clean

    Фаервол действительно желательно поставить , - а уж какой именно, - выбор за Вами.

  13. #12
    Junior Member Репутация
    Регистрация
    14.10.2006
    Сообщений
    9
    Вес репутации
    64

    Thumbs up Последние уточнения....

    Я так понимаю, что этот раунд закончен!!! И в нашу пользу!!! Или что еще надо поковырять?!?!?!

    Цитата Сообщение от drongo
    стенка Seagate к сожилению не поддерживаеться...
    Пока его поставлю...

    А там...
    Цитата Сообщение от drongo
    ... тот же комодо . попробуйте
    ... поищу и попробую!

    ОГРОМНОЕ СПАСИБО ЗА ПОМОЩЬ!!! Удачной охоты!!!

  14. #13

  15. #14
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    Установите кав6 он его и грохнет Ж)
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  16. #15
    Junior Member Репутация
    Регистрация
    14.10.2006
    Сообщений
    9
    Вес репутации
    64

    Talking Ты не всю проблему прочувствовал!!!

    Цитата Сообщение от Sanja
    Установите кав6 он его и грохнет Ж)
    Ага, а потом еще пару сотен раз появляется!!!

    Хочешь пришлю, будешь тренироваться!!!

    А тему пора закрывать, СПАСИБО всем, кто откликнулся и помог!!! Усё у порядке!!!

  • Уважаемый(ая) ALmazini, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.02.2009, 06:00
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    4. Trojan.Win32.Agent.asu в файле protect.sys
      От walddiver в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 02:21
    5. Ответов: 5
      Последнее сообщение: 15.11.2008, 03:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00961 seconds with 20 queries