Показано с 1 по 18 из 18.

Не дает работать вирус Trojan.NtRootKit.168 (заявка № 8195)

  1. #1
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    Thumbs up Не дает работать вирус Trojan.NtRootKit.168

    Добрый день!
    CoreIt -обраружил вирус Trojan.NtRootKit.168. После лечени пишет "действие" - удален. После перезагрузки системы снова обружен это вирус. Вирус обраружен в объекте с:\winnt\new_drv.sys.
    Файл new_drv.sys отсутствует в директории с:\winnt
    avz.exe - запускал, одни подозрения
    HijackThis.exe - запусуал, ?
    Помогите, пожалуйста.
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Логов доолжно быть 3

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    выполните скрипт..
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\AUTORUN\AutoRun.exe','');
     QuarantineFile('C:\WINNT\checkers6.exe','');
     QuarantineFile('\??\C:\WINNT\new_drv.sys','');
     QuarantineFile('c:\winnt\9129837.exe','');
     DeleteFile('c:\winnt\9129837.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    после перезагрузки пришлите файлы из карантина в соответствии с правилами..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  5. #4
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    Забытый файл

    Забытый файл
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    архивированный карантин

    Не могу отправить virus.zip.
    Размер 3.2 M
    Возможно не могу сделать из-за размера файла

  7. #6
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    Вирус исчез

    после выполнения скрипта и мунипулирования avz.exe.
    В директории c:\winnt появились файлы:
    125281.exe
    131296.exe
    1327140.exe
    1375031.exe
    144921.exe
    148578.exe
    150015.exe
    170031.exe
    2529062.exe
    9129837.exe
    checkers6.exe
    new_drv.sys
    Эти файлы я не мог ранее найти в директории с:\winnt.
    Я файлы переметил в другую директорию, перегрузился, запустил CoreIt.exe и он мне перестал показывать, что у меня есть вирус Trojan.NtRootKit.168. Интересно, я избавился от вируса?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от emal Посмотреть сообщение
    Не могу отправить virus.zip.
    Размер 3.2 M
    Возможно не могу сделать из-за размера файла
    Туда отправляете? -
    http://virusinfo.info/upload_virus.php?tid=8195

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от emal Посмотреть сообщение
    Не могу отправить virus.zip.
    Размер 3.2 M
    Возможно не могу сделать из-за размера файла
    Сделайте 2 архива. Самый большой файл (скорее всего 'c:\winnt\9129837.exe') пошлите в отдельном.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Shu_b Посмотреть сообщение
    Туда отправляете? -
    http://virusinfo.info/upload_virus.php?tid=8195
    Интересно, я избавился от вируса?
    Повторно сделайте логи по Правилам и приложите их сюда.

  11. #10
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    Логи, после исчезновения вируса

    Логи, после исчезновения вируса.
    Пожалуйста, посмотрите.
    Спасибо.
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522

    Exclamation

    Надо еще разок CureIt пройтись. Больно много подозрений AVZ выдает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    Надо еще разок CureIt пройтись

    Запускаю CureIt, сканирую и после присылаю все логи, ДА?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    В присланом вами карантине целый букет Trojan-PSW.Win32.Small.bs.

    после выполнения скрипта и мунипулирования avz.exe.
    В директории c:\winnt появились файлы:
    125281.exe
    131296.exe
    1327140.exe
    1375031.exe
    144921.exe
    148578.exe
    150015.exe
    170031.exe
    2529062.exe
    9129837.exe
    checkers6.exe
    new_drv.sys
    Эти файлы я не мог ранее найти в директории с:\winnt.
    Не могли видеть потому что их скрывал руткит, ну и конечно после того как AVZ убил его, эти файлы появились.

    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    ClearQuarantine;
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINNT\checkers6.exe');
     DeleteFile('D:\AUTORUN\AutoRun.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, повторить два последних лога из правил.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от emal Посмотреть сообщение
    Запускаю CureIt, сканирую и после присылаю все логи, ДА?
    Да. Заодно можно лог CureIt со свежими базами. Есть вероятность что АВЗ только подозрения высказывает, но может оказаться и по-другому.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    Добрый день!

    Добрый день!
    1) Запустил CoreIt.exe - вирусов не обнаружено.
    2) Перегрузил
    3) Выполнил скрипты avz.exe
    4) сформировал логи avz.exe и HijackThis.exe
    Система Win32 пока работает нормально.
    Посмотрите, пожалуйста, логи.
    Спасибо.
    PS Извините, если выслал лишний лог.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    28.02.2007
    Сообщений
    8
    Вес репутации
    63

    БОЛЬШОЕ СПАСИБО

    НАВЕРНОЕ, ФАЙЛЫ, КОТОРЫЕ Я РАНЕЕ ПОСЛАЛ НЕ ПРЕДСТВЛЯЮТ БОЛЬШОЙ ОПАСНОСТИ И ВИРУС «УБИТ». СИСТЕМА РАБОТАЕТ СТАБИЛЬНО.
    ТАК ЧТО, БОЛЬШОЕ СПАСИБО, ВСЕМ КТО ПОМОГАЛ «УБИТЬ» ВИРУС!

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    ФАЙЛЫ, КОТОРЫЕ Я РАНЕЕ ПОСЛАЛ НЕ ПРЕДСТВЛЯЮТ БОЛЬШОЙ ОПАСНОСТИ
    Представляют, и я об этом уже писал...


    На счет логов - они чистые.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 29
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\winnt\\checkers6.exe - Trojan-GameThief.Win32.OnLineGames.ygh (DrWEB: Trojan.PWS.Haiuy)
      2. c:\\winnt\\new_drv.sys - Trojan-PSW.Win32.Papras.ae (DrWEB: Trojan.NtRootKit.16
      3. c:\\winnt\\125281.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)
      4. c:\\winnt\\131296.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)
      5. c:\\winnt\\1327140.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)
      6. c:\\winnt\\1375031.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)
      7. c:\\winnt\\144921.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)
      8. c:\\winnt\\148578.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)
      9. c:\\winnt\\150015.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)
      10. c:\\winnt\\170031.exe - Trojan-GameThief.Win32.OnLineGames.ygh (DrWEB: Trojan.PWS.Haiuy)
      11. c:\\winnt\\9129837.exe - Trojan-PSW.Win32.Papras.w (DrWEB: Trojan.PWS.Haiuy)


  • Уважаемый(ая) emal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус не дает нормально работать
      От Kudar в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.10.2010, 20:49
    2. Вирус не дает работать антивирусу
      От s.slava в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 29.06.2010, 11:31
    3. Вирус не дает работать AVZ
      От prastituta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.06.2010, 20:59
    4. Вирус не дает работать!
      От mrak_srgt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2010, 14:44
    5. Какой то вирус не дает работать
      От Tanousik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.04.2008, 10:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00311 seconds with 20 queries