Сообщение было изменено Borka: 16 Январь 2009 - 01:29
Вредоносное вложение удалено.
Trojan.ntrootkit.1722
Автор
Sambuka
, янв 16 2009 01:24
52 ответов в этой теме
#1
Sambuka
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 16 Январь 2009 - 01:24
Dr.Web обнаружил данный вирус в временных файлах. Удаление самих файлов не помогло, при перезагрузке возникают снова, применение специальных утилит для удаления руткитов - тоже не помогло... Подскажите, пожалуйста, как справиться с этой напастью человеку, не особо в вирусах смыслящему.
#2
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 16 Январь 2009 - 01:29
Доктор Веб установлен?Dr.Web обнаружил данный вирус в временных файлах. Удаление самих файлов не помогло, при перезагрузке возникают снова, применение специальных утилит для удаления руткитов - тоже не помогло... Подскажите, пожалуйста, как справиться с этой напастью человеку, не особо в вирусах смыслящему.
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#3
Sambuka
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 16 Январь 2009 - 14:20
Установлен Dr.Web 4.44.Доктор Веб установлен?
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
Логи HijackThis и RootkitUnhooker прикладываю.
А вот это:
"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета, хотя у меня установлен именно в эту папку.
Спасибо большое, что отозвались!
Прикрепленные файлы:
-
hijackthis.log 10,47К
182 Скачано раз
-
Report.txt 34,64К
154 Скачано раз
#4
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 16 Январь 2009 - 14:45
Установлен Dr.Web 4.44.Доктор Веб установлен?
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
Логи HijackThis и RootkitUnhooker прикладываю.
А вот это:
"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета, хотя у меня установлен именно в эту папку.
Спасибо большое, что отозвались!
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
Личный сайт по Энкодерам - http://vmartyanov.ru/
#5
headliner
-
- Members
- 547 Сообщений:
Advanced Member
Отправлено 16 Январь 2009 - 15:01
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe - это не обязательно, это драйвер принтера ХП.Установлен Dr.Web 4.44.Доктор Веб установлен?
Вы это читали: http://forum.drweb.com/index.php?showtopic=276590 ?
Логи HijackThis и RootkitUnhooker прикладываю.
А вот это:
"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета, хотя у меня установлен именно в эту папку.
Спасибо большое, что отозвались!
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
#6
account has been deleted
-
- Posters
- 2 837 Сообщений:
Massive Poster
#7
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 16 Январь 2009 - 15:07
Ну лучше перебдеть :-) Да и чистые файлы найдем куда применить ;-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#8
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 16 Январь 2009 - 16:16
Извините, ошибка прокралась...Будет исправлено"C:\Program Files\DrWeb\DrWeb32w.exe" /SHELL /RP:c:\FastScan.log - выдало ошибку сохранения отчета,
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#9
Sambuka
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 16 Январь 2009 - 18:22
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
hpztsb10.exe - [drweb.com #759551]
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
#10
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 16 Январь 2009 - 18:28
Пришлите, пожалуйста, перечисленные ниже файлы через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\ntos.exe - обязательно!
C:\WINDOWS\system32\mmmngrng.dll
c:\windows\system32\mssrv32.exe
hpztsb10.exe - [drweb.com #759551]
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
А из безопасного режима ntos можно скопировать?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#11
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 16 Январь 2009 - 18:36
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
создайте папку c:\test\ . обновите drweb. запустите так "C:\Program Files\DrWeb\DrWeb32w.exe" /fast /ok /al /rpc:\test\FastScan.log . Вирусы лечить. приложите сюда c:\test\FastScan.log в архиве.
скачайте прилагаемый файл cure.bat.txt, назовите cure.bat, запустите, покажите здесь файл c:\test\result.txt . Файлы *.dwq из c:\test\ проверяйте на http://www.virustotal.com/ , шлите в вирлаб drweb
cure.bat.txt 485байт
121 Скачано раз
#12
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 16 Январь 2009 - 18:44
ntos.exe не обнаружился, даже если через свойства папки включить отображение скрытых и системных, обнаружился только ntoskrnl.exe - [drweb.com #759555]
mmmngrng.dll - также нету
mssrv32.exe - есть, но отказывается отправляться или паковаться в архив, сообщая, что процесс занят другим
создайте папку c:\test\ . обновите drweb. запустите так "C:\Program Files\DrWeb\DrWeb32w.exe" /fast /ok /al /rpc:\test\FastScan.log . Вирусы лечить. приложите сюда c:\test\FastScan.log в архиве.
скачайте прилагаемый файл cure.bat.txt, назовите cure.bat, запустите, покажите здесь файл c:\test\result.txt . Файлы *.dwq из c:\test\ проверяйте на http://www.virustotal.com/ , шлите в вирлаб drweb
Можно не проверять, а сразу слать :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#13
Sambuka
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 16 Январь 2009 - 19:48
создайте папку c:\test\ . обновите drweb. запустите так "C:\Program Files\DrWeb\DrWeb32w.exe" /fast /ok /al /rpc:\test\FastScan.log . Вирусы лечить. приложите сюда c:\test\FastScan.log в архиве.
скачайте прилагаемый файл cure.bat.txt, назовите cure.bat, запустите, покажите здесь файл c:\test\result.txt . Файлы *.dwq из c:\test\ проверяйте на http://www.virustotal.com/ , шлите в вирлаб drweb
Еще раз спасибо, что отозвались!
Файлы прилагаю, правда, cure.bat при запуске выдал окошко - неверный ключ командной строки.
Файлов *.dwq в папке не появилось.
А вирус снова появился во временных файлах, но он неизлечимый, только удалить можно, а при перезагрузке снова появляется.
Извините за дилетантский вопрос: а это как?А из безопасного режима ntos можно скопировать?
Прикрепленные файлы:
-
FastScan.log 418,28К
187 Скачано раз
-
drweb32w.log 81,3К
181 Скачано раз
#14
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 17 Январь 2009 - 14:35
Я Вас о чём просил? обновите drweb. У Вас старый сканер и старые базы. Потому и cure.bat не сработал. Лучше так сделайте:Файлы прилагаю, правда, cure.bat при запуске выдал окошко - неверный ключ командной строки.
Скачиваете свежий cureit http://www.freedrweb.com/cureit/ . Создаёте папку c:\test, копируете туда cureit, называете его xyz.pif . Скачиваете прилагаемый файл cureit-scan.zip, извлекаете в c:\test\ файл cureit-scan.bat, запускаете cureit-scan.bat - заработает cureit. Все найденное - лечить. Когда он отработает, закрываете окно cureit, при этом cureit заработает снова, с другими параметрами. Прописаны 3 запуска cureit. Если будут найдены вирусы и запрошена перезагрузка - соглашайтесь. После перезагрузки снова запускаете cureit-scan.bat - и так пока не перестанет находить вирусы. Покажите здесь c:\test\cureit-fast.log в архиве.
После этого Скачиваете ATF-Cleaner http://www.atribune.org/ccount/click.php?id=1 , запускаете ATF-Cleaner--select all--empty selected
cureit_scan.zip 275байт
120 Скачано раз
#15
Sambuka
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 17 Январь 2009 - 20:46
Скачиваете свежий cureit http://www.freedrweb.com/cureit/ . Создаёте папку c:\test, копируете туда cureit, называете его xyz.pif . Скачиваете прилагаемый файл cureit-scan.zip, извлекаете в c:\test\ файл cureit-scan.bat, запускаете cureit-scan.bat - заработает cureit. Все найденное - лечить. Когда он отработает, закрываете окно cureit, при этом cureit заработает снова, с другими параметрами. Прописаны 3 запуска cureit. Если будут найдены вирусы и запрошена перезагрузка - соглашайтесь. После перезагрузки снова запускаете cureit-scan.bat - и так пока не перестанет находить вирусы. Покажите здесь c:\test\cureit-fast.log в архиве.
После этого Скачиваете ATF-Cleaner http://www.atribune.org/ccount/click.php?id=1 , запускаете ATF-Cleaner--select all--empty selected
Все выполнила, архив прилагаю!
Спасибо огромное!
Прикрепленные файлы:
-
cureit_fast.rar 45,79К
95 Скачано раз
#16
vladimi
-
- Posters
- 9 Сообщений:
Newbie
Отправлено 04 Февраль 2009 - 02:08
Помогите,пожалуйста, избавиться от Руткита!
Текстовые файлы прилагаю.
Текстовые файлы прилагаю.
Прикрепленные файлы:
-
drweb_fast.rar 69,31К
44 Скачано раз
-
hijackthis.rar 3,76К
51 Скачано раз
-
Report.rar 4,24К
89 Скачано раз
#17
Pili
-
- Posters
- 24 Сообщений:
Newbie
Отправлено 04 Февраль 2009 - 09:40
vladimi, надо было создавать отдельную тему.
C:\System32\syssetub.dll - можете тоже проверить ,но видимо осталось от сборки.
FlashGet лучше деинсталлируйте и перейдите на другой менеджер закачек, деинсталлируйте интернет помошник Mycentria (C:\PROGRA~1\MYCENT~1\)
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - (no file)
Это д.б. от C:\WINDOWS\system32\wmldap.dll - самого файла видимо уже нет.
WMLDAP.DLL - Trojan.Net
C:\WINDOWS\System32\Drivers\avkf12lj.SYS C:\WINDOWS\system32\drivers\sysaudio.sys C:\WINDOWS\System32\Drivers\karlchen.SYS C:\WINDOWS\System32\Drivers\Beep.SYS C:\WINDOWS\system32\basejvduo32.dll C:\WINDOWS\system32\baseobowi32.dllМожете проверить на virustotal.com и отправить в вирлаб, avkf12lj.SYS - наиболее подозрителен.
C:\System32\syssetub.dll - можете тоже проверить ,но видимо осталось от сборки.
FlashGet лучше деинсталлируйте и перейдите на другой менеджер закачек, деинсталлируйте интернет помошник Mycentria (C:\PROGRA~1\MYCENT~1\)
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {92860A02-4D69-48c1-82D7-EF6B2C609502} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - (no file)O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - (no file)
Это д.б. от C:\WINDOWS\system32\wmldap.dll - самого файла видимо уже нет.
WMLDAP.DLL - Trojan.Net
#18
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 04 Февраль 2009 - 10:49
Помогите,пожалуйста, избавиться от Руткита!
Текстовые файлы прилагаю.
А это вы сами ставили C:\Program Files\WinPcap\rpcapd.exe или у вас там сниффер живет?
Пришлите, пожалуйста, файл LVPrcInj01.dll через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#19
vladimi
-
- Posters
- 9 Сообщений:
Newbie
Отправлено 04 Февраль 2009 - 21:01
Спасибо за отзыв! Указанный файл выслал. Насчет WinPcap\rpapd.exe я не знаю. Я вообще-то в этом деле, честно говоря,Помогите,пожалуйста, избавиться от Руткита!
Текстовые файлы прилагаю.
А это вы сами ставили C:\Program Files\WinPcap\rpcapd.exe или у вас там сниффер живет?
Пришлите, пожалуйста, файл LVPrcInj01.dll через форму http://vms.drweb.com/sendvirus/ , указав категорию "Подозрение на вирус" и свой e-mail. На указанный адрес придет письмо с номером тикета, который опубликуйте в этой ветке.
дилетант. Еще раз благодарю за поддержку.
#20
vladimi
-
- Posters
- 9 Сообщений:
Newbie
Отправлено 04 Февраль 2009 - 21:59
Публикую полученное письмо:
Уважаемый vlatimir@mail.ru,
Это сообщение автоматически сформировано в ответ
на Ваш запрос относительно:
"SUBMITTED SUSPICIOUS FILE".
Детальная информация о Вашем запросе представлена ниже.
В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #777556].
Пожалуйста, включайте строку:
[drweb.com #777556].
в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.
Спасибо за сотрудничество.
Уважаемый vlatimir@mail.ru,
Это сообщение автоматически сформировано в ответ
на Ваш запрос относительно:
"SUBMITTED SUSPICIOUS FILE".
Детальная информация о Вашем запросе представлена ниже.
В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #777556].
Пожалуйста, включайте строку:
[drweb.com #777556].
в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.
Спасибо за сотрудничество.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
