Сообщение было изменено Borka: 16 Январь 2009 - 01:29
Вредоносное вложение удалено.
Trojan.ntrootkit.1722
#1
Отправлено 16 Январь 2009 - 01:24
#2
Отправлено 16 Январь 2009 - 01:29
Доктор Веб установлен?Dr.Web обнаружил данный вирус в временных файлах. Удаление самих файлов не помогло, при перезагрузке возникают снова, применение специальных утилит для удаления руткитов - тоже не помогло... Подскажите, пожалуйста, как справиться с этой напастью человеку, не особо в вирусах смыслящему.
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
Борис А. Чертенко aka Borka.
#3
Отправлено 16 Январь 2009 - 14:20
Установлен Dr.Web 4.44.Доктор Веб установлен?
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
Логи HijackThis и RootkitUnhooker прикладываю.
А вот это:
"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета, хотя у меня установлен именно в эту папку.
Спасибо большое, что отозвались!
Прикрепленные файлы:
#4
Отправлено 16 Январь 2009 - 14:45
Установлен Dr.Web 4.44.Доктор Веб установлен?
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
Логи HijackThis и RootkitUnhooker прикладываю.
А вот это:
"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета, хотя у меня установлен именно в эту папку.
Спасибо большое, что отозвались!
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
Личный сайт по Энкодерам - http://vmartyanov.ru/
#5
Отправлено 16 Январь 2009 - 15:01
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe - это не обязательно, это драйвер принтера ХП.Установлен Dr.Web 4.44.Доктор Веб установлен?
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
Логи HijackThis и RootkitUnhooker прикладываю.
А вот это:
"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета, хотя у меня установлен именно в эту папку.
Спасибо большое, что отозвались!
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
#7
Отправлено 16 Январь 2009 - 15:07
Личный сайт по Энкодерам - http://vmartyanov.ru/
#8
Отправлено 16 Январь 2009 - 16:16
Извините, ошибка прокралась...Будет исправлено"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета,
#9
Отправлено 16 Январь 2009 - 18:22
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
hpztsb10.exe - [drweb.com #759551]
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
#10
Отправлено 16 Январь 2009 - 18:28
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
hpztsb10.exe - [drweb.com #759551]
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
А из безопасного режима ntos можно скопировать?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#11
Отправлено 16 Январь 2009 - 18:36
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
создайте папку c:\test\ . обновите drweb. запустите так "C:\Program Files\DrWeb\DrWeb32w.exe" /fast /ok /al /rpc:\test\FastScan.log . Вирусы лечить. приложите сюда c:\test\FastScan.log в архиве.
скачайте прилагаемый файл cure.bat.txt, назовите cure.bat, запустите, покажите здесь файл c:\test\result.txt . Файлы *.dwq из c:\test\ проверяйте на http://www.virustotal.com/ , шлите в вирлаб drweb
cure.bat.txt 485байт 121 Скачано раз
#12
Отправлено 16 Январь 2009 - 18:44
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
создайте папку c:\test\ . обновите drweb. запустите так "C:\Program Files\DrWeb\DrWeb32w.exe" /fast /ok /al /rpc:\test\FastScan.log . Вирусы лечить. приложите сюда c:\test\FastScan.log в архиве.
скачайте прилагаемый файл cure.bat.txt, назовите cure.bat, запустите, покажите здесь файл c:\test\result.txt . Файлы *.dwq из c:\test\ проверяйте на http://www.virustotal.com/ , шлите в вирлаб drweb
cure.bat.txt 485байт 121 Скачано раз
Можно не проверять, а сразу слать :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#13
Отправлено 16 Январь 2009 - 19:48
создайте папку c:\test\ . обновите drweb. запустите так "C:\Program Files\DrWeb\DrWeb32w.exe" /fast /ok /al /rpc:\test\FastScan.log . Вирусы лечить. приложите сюда c:\test\FastScan.log в архиве.
скачайте прилагаемый файл cure.bat.txt, назовите cure.bat, запустите, покажите здесь файл c:\test\result.txt . Файлы *.dwq из c:\test\ проверяйте на http://www.virustotal.com/ , шлите в вирлаб drweb
Еще раз спасибо, что отозвались!
Файлы прилагаю, правда, cure.bat при запуске выдал окошко - неверный ключ командной строки.
Файлов *.dwq в папке не появилось.
А вирус снова появился во временных файлах, но он неизлечимый, только удалить можно, а при перезагрузке снова появляется.
Извините за дилетантский вопрос: а это как?А из безопасного режима ntos можно скопировать?
Прикрепленные файлы:
#14
Отправлено 17 Январь 2009 - 14:35
Я Вас о чём просил? обновите drweb. У Вас старый сканер и старые базы. Потому и cure.bat не сработал. Лучше так сделайте:Файлы прилагаю, правда, cure.bat при запуске выдал окошко - неверный ключ командной строки.
Скачиваете свежий cureit http://www.freedrweb.com/cureit/ . Создаёте папку c:\test, копируете туда cureit, называете его xyz.pif . Скачиваете прилагаемый файл cureit-scan.zip, извлекаете в c:\test\ файл cureit-scan.bat, запускаете cureit-scan.bat - заработает cureit. Все найденное - лечить. Когда он отработает, закрываете окно cureit, при этом cureit заработает снова, с другими параметрами. Прописаны 3 запуска cureit. Если будут найдены вирусы и запрошена перезагрузка - соглашайтесь. После перезагрузки снова запускаете cureit-scan.bat - и так пока не перестанет находить вирусы. Покажите здесь c:\test\cureit-fast.log в архиве.
После этого Скачиваете ATF-Cleaner http://www.atribune.org/ccount/click.php?id=1 , запускаете ATF-Cleaner--select all--empty selected
cureit_scan.zip 275байт 120 Скачано раз
#15
Отправлено 17 Январь 2009 - 20:46
Скачиваете свежий cureit http://www.freedrweb.com/cureit/ . Создаёте папку c:\test, копируете туда cureit, называете его xyz.pif . Скачиваете прилагаемый файл cureit-scan.zip, извлекаете в c:\test\ файл cureit-scan.bat, запускаете cureit-scan.bat - заработает cureit. Все найденное - лечить. Когда он отработает, закрываете окно cureit, при этом cureit заработает снова, с другими параметрами. Прописаны 3 запуска cureit. Если будут найдены вирусы и запрошена перезагрузка - соглашайтесь. После перезагрузки снова запускаете cureit-scan.bat - и так пока не перестанет находить вирусы. Покажите здесь c:\test\cureit-fast.log в архиве.
После этого Скачиваете ATF-Cleaner http://www.atribune.org/ccount/click.php?id=1 , запускаете ATF-Cleaner--select all--empty selected
Все выполнила, архив прилагаю!
Спасибо огромное!
Прикрепленные файлы:
#16
Отправлено 04 Февраль 2009 - 02:08
Текстовые файлы прилагаю.
Прикрепленные файлы:
#17
Отправлено 04 Февраль 2009 - 09:40
C:\WINDOWS\System32\Drivers\avkf12lj.SYS C:\WINDOWS\system32\drivers\sysaudio.sys C:\WINDOWS\System32\Drivers\karlchen.SYS C:\WINDOWS\System32\Drivers\Beep.SYS C:\WINDOWS\system32\basejvduo32.dll C:\WINDOWS\system32\baseobowi32.dllМожете проверить на virustotal.com и отправить в вирлаб, avkf12lj.SYS - наиболее подозрителен.
C:\System32\syssetub.dll - можете тоже проверить ,но видимо осталось от сборки.
FlashGet лучше деинсталлируйте и перейдите на другой менеджер закачек, деинсталлируйте интернет помошник Mycentria (C:\PROGRA~1\MYCENT~1\)
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {92860A02-4D69-48c1-82D7-EF6B2C609502} - (no file) O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - (no file)
O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - (no file)
Это д.б. от C:\WINDOWS\system32\wmldap.dll - самого файла видимо уже нет.
WMLDAP.DLL - Trojan.Net
#18
Отправлено 04 Февраль 2009 - 10:49
Помогите,пожалуйста, избавиться от Руткита!
Текстовые файлы прилагаю.
А это вы сами ставили C:\Program Files\WinPcap\rpcapd.exe или у вас там сниффер живет?
Пришлите, пожалуйста, файл LVPrcInj01.dll через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#19
Отправлено 04 Февраль 2009 - 21:01
Спасибо за отзыв! Указанный файл выслал. Насчет WinPcap\rpapd.exe я не знаю. Я вообще-то в этом деле, честно говоря,Помогите,пожалуйста, избавиться от Руткита!
Текстовые файлы прилагаю.
А это вы сами ставили C:\Program Files\WinPcap\rpcapd.exe или у вас там сниффер живет?
Пришлите, пожалуйста, файл LVPrcInj01.dll через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
дилетант. Еще раз благодарю за поддержку.
#20
Отправлено 04 Февраль 2009 - 21:59
Уважаемый vlatimir@mail.ru,
Это сообщение автоматически сформировано в ответ
на Ваш запрос относительно:
"SUBMITTED SUSPICIOUS FILE".
Детальная информация о Вашем запросе представлена ниже.
В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #777556].
Пожалуйста, включайте строку:
[drweb.com #777556].
в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.
Спасибо за сотрудничество.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых