Показано с 1 по 9 из 9.

NTRootkit/packed/bulknet и другие ;) (заявка № 13399)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    35
    Вес репутации
    62

    Thumbs up NTRootkit/packed/bulknet и другие ;)

    Добрый день,

    нахватался "нечисти" не могу сдыхаться. Траффик рвет и лезет куда только можно. (в DUmetter хорошо видно).

    Логи как всегда в аттаче.

    Сенкз ин эдванс,
    Юрий
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
    QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
    QuarantineFile('C:\WINDOWS\system32\l33t.exe','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('C:\WINDOWS\system32\hhw.exe','');
     QuarantineFile('C:\WINDOWS\system32\ccapp.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\DOCUME~1\Yuriy\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\microsoft.v.4.0.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\microsoft.v.4.0.dll');
     DeleteFile('C:\DOCUME~1\Yuriy\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\ccapp.exe');
     DeleteFile('C:\WINDOWS\system32\hhw.exe');
     DeleteFile('autorun.bat');
    DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
    DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
    DeleteFile('C:\WINDOWS\system32\l33t.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('runtime2');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('l33t');
    BC_DeleteFile('c:\windows\system32\drivers\runtime2.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    35
    Вес репутации
    62

    Сделано!

    Полный файл с карантином слишком велик - за 3 мегабайта.
    Я выбрал только файлы с причиной карантина "скопирован МП" и положил в файл Q.zip.
    Вложения Вложения
    Последний раз редактировалось yuraf; 21.10.2007 в 13:22.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Карантин из сообщения уберите и загрузите сюда:
    http://virusinfo.info/upload_virus.php?tid=13399
    (желательно полный)

    Добавлено через 4 минуты

    Почему не отключали восстановление системы - там наверняка есть копии удаленных зловредов. Отключите его сейчас.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O20 - Winlogon Notify: microsoft.v.4.0reg - C:\Documents and Settings\All Users\Документы\Settings\microsoft.v.4.0.dll (file missing)
    На всякий случай перезагрузитесь и сделайте повторно лог HijackThis.
    Последний раз редактировалось Bratez; 21.10.2007 в 13:09. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    35
    Вес репутации
    62
    Перепутал галочки с восстановлением. Оно у меня было отключено ранее, а я его включил ;(

    Карантин загрузил. Файл сохранён как071021_041425_virusinfo_files_YFEDOROV_471b1871 2db27.zip

    Траффик по нету вроде перестал гулять
    Последний раз редактировалось yuraf; 21.10.2007 в 13:23.

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    35
    Вес репутации
    62

    Лог HJ после переразгрузки

    BR
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логе чисто ...

  9. #8
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    35
    Вес репутации
    62

    Сенкз громадный ;)

    BR,
    Юрий

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) yuraf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ip6Fw.sys, runtime.sys (Trojan.NtRootKit.497, BackDoor.Bulknet)
      От Jura Gorohovsky в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:18
    2. были Trojan.NtRootKit.248, Backdoor.Bulknet
      От Spy Gates в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:08
    3. Backdoor.Bulknet и trojan.ntrootkit.248
      От Vointorf в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:00
    4. Trojan.NtRootKit.248 + BackDoor.Bulknet
      От Valchara в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:54
    5. Backdoor.Bulknet и Trojan.NtRootKit.248
      От Gray в разделе Помогите!
      Ответов: 60
      Последнее сообщение: 22.02.2009, 01:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00941 seconds with 18 queries