Показано с 1 по 6 из 6.

Подозрение на BackDoor.Bulknet.216 (заявка № 25790)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31

    Exclamation Подозрение на BackDoor.Bulknet.216

    Доброго времени суток
    Необычно высокий исходящий трафикчуть более чем за сутки)
    отправлено-156 930 039 байт
    принято-125 628 797

    Каспер молчит даже при полном сканировании,а CureIT говорит что файл c:\windows\system32\drivers\dlf37.sys заражен BackDoor.Bulknet.216

    Очень надеюсь на вашу помощь.
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Вот эту парочку через IceSword надо удалить, предварительно куда-нибудь скопировав:
    C:\WINDOWS\System32\drivers\tcpsr.sys
    C:\WINDOWS\System32\Drivers\Dlf37.sys

    Затем добить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Dlf37.sys','');
     DeleteService('Dlf37');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteService('tcpsr');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dlf37.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Копии этих файлов в карантин и прислать. еще желательно сделать логи с запущенным AVZPM.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31
    Карантин:
    Файл сохранён как080704_003103_Quarantine_486db597ab0d4.zipРазме р файла21999MD5036af8d382b0d3a06cdc0e8a812e5ec2

    Файла tcpsr.sys нет хотя я его не удалял.
    Файл Dlf37.sys в карантине

    Все инструкции выполнил,вот новые логи.
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Такое ощущение что ничего и не делали ...

    Отключились от сети и отключили антивирус...

    Нашли вот этот файлик в IceSword:

    Код:
    C:\WINDOWS\System32\Drivers\Dlf37.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('tcpsr');
     DeleteService('Dlf37');       
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dlf37.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr ');
    BC_DeleteSvc('Dlf37 ');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31
    Карантин:Файл сохранён как080706_220704_2008-07-07_487188580ee4b.zipРазмер файла51832MD50241736c11488f4b5801c4c693bae3f5


    Этого файла Dlf37.sys нет, ни в IceSword ни при поиске в тотале!
    Вот новые логи.
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В логах ничего плохого не увидел.
    Все, что нужно, удалилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) N0ax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. backdoor.bulknet.417
      От Vovius в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.07.2010, 16:44
    2. BackDoor.Bulknet.320
      От vlad_1976 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.09.2009, 16:11
    3. Backdoor.Bulknet
      От aspu в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:33
    4. Лечить BackDoor.Bulknet.216
      От bizon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.07.2008, 17:59
    5. BackDoor.Bulknet.157
      От monul в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.03.2008, 01:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00132 seconds with 20 queries