Подозрение на BackDoor.Bulknet.216
Доброго времени суток
Необычно высокий исходящий трафикчуть более чем за сутки)
отправлено-156 930 039 байт
принято-125 628 797
Каспер молчит даже при полном сканировании,а CureIT говорит что файл c:\windows\system32\drivers\dlf37.sys заражен BackDoor.Bulknet.216
Очень надеюсь на вашу помощь.
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вот эту парочку через IceSword надо удалить, предварительно куда-нибудь скопировав:
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Dlf37.sys
Затем добить:
Копии этих файлов в карантин и прислать. еще желательно сделать логи с запущенным AVZPM.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Dlf37.sys',''); DeleteService('Dlf37'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dlf37.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин:
Файл сохранён как080704_003103_Quarantine_486db597ab0d4.zipРазме р файла21999MD5036af8d382b0d3a06cdc0e8a812e5ec2
Файла tcpsr.sys нет хотя я его не удалял.
Файл Dlf37.sys в карантине
Все инструкции выполнил,вот новые логи.
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
Такое ощущение что ничего и не делали
Отключились от сети и отключили антивирус...
Нашли вот этот файлик в IceSword:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\System32\Drivers\Dlf37.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); DeleteService('Dlf37'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dlf37.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('tcpsr '); BC_DeleteSvc('Dlf37 '); BC_Activate; RebootWindows(true); end.
Карантин:Файл сохранён как080706_220704_2008-07-07_487188580ee4b.zipРазмер файла51832MD50241736c11488f4b5801c4c693bae3f5
Этого файла Dlf37.sys нет, ни в IceSword ни при поиске в тотале!
Вот новые логи.
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
В логах ничего плохого не увидел.
Все, что нужно, удалилось.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) N0ax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
