Показано с 1 по 8 из 8.

DrWeb CureIt - backdoor.bulknet.507 (заявка № 88618)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2010
    Сообщений
    4
    Вес репутации
    23

    Done DrWeb CureIt - backdoor.bulknet.507

    Доброго времени суток

    Система Windows XP SP3. Перестала работать сеть, причем даже не определялось подключен сетевой кабель или нет - всегда был не подключен. Был установлен Eset Smart Security. В диспетчере устройств минипорты Eset отображались с желтыми восклицательными знаками - устройство не может стартовать. Через установку/удаление программ ESS не удалялся ссылаясь на ошибку удаления драйверов в процессе удаления. С сайта Eset была скачана специальная альтернативная утилита удаления ESS в безопасном режиме и применена с соблюдением приводимой на сайте инструкции. В процессе работы утилиты были удалены данные из реестра касающиеся ESS, но и эта альтернативная утилита выдала ругательства по поводу удаления непосредственно с диска файлов касающихся ESS (C:\WINDOWS\system32\drivers\epfwndis.sys и еще нескольких), причем после её работы при попытке вручную удалить/скопировать/открыть FAR'ом эти файлы в нормальном режиме - доступ запрещен, ошибка удаления/копирования/открытия и в свойствах файла вкладка "Безопасность" отсутствует (у рядом располагающихся файлов эта фкладка присутствует, выполнялся chkdsk c: /f - всё осталось также без изменений). После этого при загрузке в обычном режиме сеть заработала. Была проведена проверка DrWeb CureIt. В результате проверки CureIt обнаружил что C:\WINDOWS\system32\drivers\NDIS.SYS инфицирован backdoor.bulknet.507 - будет излечен после перезагрузки. При проведении повторной проверки CureIt после перезагрузки - снова инфицирован NDIS.SYS.
    Логи прилагаю. Помогите с лечением - очень не хочется переустанавливать систему.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    - Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     BC_QrFile('C:\WINDOWS\system32\Drivers\NDIS.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:

    - Выполните скрипт в AVZ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

  4. #3
    Junior Member Репутация
    Регистрация
    23.09.2010
    Сообщений
    4
    Вес репутации
    23
    Карантин:

    Файл сохранён как 100924_095609_quarantine_4c9c3d791cf57.zip
    Размер файла 145195
    MD5 d3a9f7b06705cdd855e708772f2bc03c

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    NDIS.sys - Virus.Win32.Protector.f
    ---------------------------------------------------------------

    Файл NDIS.sys замените чистым из дистрибутива (как это сделать?)

    Сделайте новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    23.09.2010
    Сообщений
    4
    Вес репутации
    23
    NDIS.SYS заменил на оригинальный из консоли восстановления. Похоже что всё поправилось. Остатки Eset Smart Security удалились успешно и DrWeb CureIt заражений больше не находит.
    Логи прилагаю
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    пофиксите в hijackthis:
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    В логах чисто.

  8. #7
    Junior Member Репутация
    Регистрация
    23.09.2010
    Сообщений
    4
    Вес репутации
    23
    Пофиксил. Спасибо большое. Лечение успешно.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,543
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )


  • Уважаемый(ая) s76, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. BackDoor.Bulknet.507
      От DianaSt в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 31.10.2010, 11:27
    2. backdoor.bulknet.417
      От Vovius в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.07.2010, 16:44
    3. Backdoor.Bulknet
      От aspu в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:33
    4. Лечить BackDoor.Bulknet.216
      От bizon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.07.2008, 17:59
    5. BackDoor.Bulknet.157
      От monul в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.03.2008, 01:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00302 seconds with 21 queries