Определился этот зверь доктор вебом(базы от 23 июля 2007). При загрузке пишет что нашел, я его лечу, при следующей перезагрузке картина повторяется. Помогите пожалуйста!
BackDoor.Bulknet Windows 2000
Определился этот зверь доктор вебом(базы от 23 июля 2007). При загрузке пишет что нашел, я его лечу, при следующей перезагрузке картина повторяется. Помогите пожалуйста!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.
После этого пришлите файлы карантина по правилам.
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\sрoоlsv.exe',''); QuarantineFile('C:\WINNT\system32\ntos.exe',''); QuarantineFile('C:\WINNT\Temp\startdrv.exe',''); QuarantineFile('C:\Documents and Settings\ен.KONTAKT-SERVICE\svchost.exe',''); QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINNT\system32\so1.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось NickGolovko; 26.07.2007 в 12:34.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
отправил файлы из карантина
C:\WINNT\system32\sрoоlsv.exe - Trojan.Win32.Small.fb
C:\WINNT\system32\so1.dll - Trojan-Spy.Win32.Banker.cnx
и несколько экземпляров Rootkit.Win32.Agent
Скрипт:
Повторите протоколы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\system32\sрoоlsv.exe'); DeleteFile('C:\WINNT\system32\ntos.exe'); DeleteFile('C:\WINNT\Temp\startdrv.exe'); DeleteFile('C:\Documents and Settings\ен.KONTAKT-SERVICE\svchost.exe'); DeleteFile('\SystemRoot\system32\drivers\runtime2.sys'); DeleteFile('C:\WINNT\system32\so1.dll'); DeleteFile('C:\Documents and Settings\ен.KONTAKT-SERVICE\Local Settings\Temp\281484.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Вроде доктор веб замолчал. СПАСИБО!
Еще один скрипт для окончательной уверенности в зачистке:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\system32\drivers\runtime2.sys'); DeleteFile('C:\WINNT\system32\ntos.exe'); DeleteFile('sрoоlsv.exe'); DeleteFile('so1.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\ен.kontakt-service\\local settings\\temp\\281484.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
- c:\\winnt\\system32\\so1.dll - Trojan-Banker.Win32.Banker.cnx (DrWEB: Trojan.PWS.Finanz)
- c:\\winnt\\system32\\sрoоlsv.exe - Trojan.Win32.Small.fb (DrWEB: Trojan.PWS.Webmonier)
Уважаемый(ая) u235, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
