Показано с 1 по 12 из 12.

BackDoor.Bulknet.507,Trojan.Packed.21005 (заявка № 89342)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    14
    Вес репутации
    32

    Exclamation BackDoor.Bulknet.507,Trojan.Packed.21005

    Добрый вечер !
    Тормозит комп,вылетает мозилла,обнаружена масса вирусов.После лечения доктор WEB пишет - "будет исцелен после рестарта",
    но не исцеляет.
    Обьект Путь Статус

    ndis.sys C:\WINDOWS\system32\dllcache BackDoor.Bulknet.507
    ndis.sys C:\WINDOWS\system32\drivers BackDoor.Bulknet.507
    Dc137.part C:\RECYCLER \S-1-5-21-1343024091-1844237615-682003330-1004 Tool.SMSSend.44

    A0045383.exe C:\System Volume Information\_restore{B1D02688-BF11-430E-90A6-755FF3765979}\RP73 Trojan.Packed.21005

    drw4.tmp C:\WINDOWS\system32\drivers BackDoor.Bulknet.507
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Обязательно Отключите!!! Системное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{B1D02688-BF11-430E-90A6-755FF3765979}\RP73\A0045473.exe:userini.exe:$DATA','');
     QuarantineFile('C:\Documents and Settings\рамиль\DoctorWeb\Quarantine\A0042828.exe:userini.exe:$DATA','');
     QuarantineFile('C:\Documents and Settings\рамиль\DoctorWeb\Quarantine\A0039657.exe:userini.exe:$DATA','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     QuarantineFile('c:\windows\system32\winlagon.exe','');
     TerminateProcessByName('c:\windows\system32\winlagon.exe');
     DeleteFile('c:\windows\system32\winlagon.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlagon');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winlagon');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','winlagon');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','winlagon');
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\Documents and Settings\рамиль\DoctorWeb\Quarantine\A0039657.exe:userini.exe:$DATA');
     DeleteFile('C:\Documents and Settings\рамиль\DoctorWeb\Quarantine\A0042828.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{B1D02688-BF11-430E-90A6-755FF3765979}\RP73\A0045473.exe:userini.exe:$DATA');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
     DeleteFileMask(':\Documents and Settings\рамиль\DoctorWeb\Quarantine', '*.*', true);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    14
    Вес репутации
    32
    Запрошенный карантин отправил.
    Последний раз редактировалось рамиль; 06.10.2010 в 21:06. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    14
    Вес репутации
    32

    Вирусы не обнаруживаются

    После выполнения всех рекомендаций все чисто.Высылаю новые
    результаты скриптов.
    Надо ли запускать mbam ?
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Надо
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Профиксите в HijackThis
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    2.Выполните скрипт в AVZ с подключенной флешкой, если диск G - это флешка
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
    QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\DOCUME~1\4707~1\LOCALS~1\Temp\stxco9y6.sys','');
     QuarantineFile('C:\Documents and Settings\рамиль\DoctorWeb\Quarantine\A0045017.exe:userini.exe:$DATA','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('G:\IZUVAS\izcipica.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3710830396-2030815903-499977804-6679\yv8g67.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-3710830396-2030815903-499977804-6679\yv8g67.exe');
     DeleteFile('G:\IZUVAS\izcipica.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\Documents and Settings\рамиль\DoctorWeb\Quarantine\A0045017.exe:userini.exe:$DATA');
     DeleteFile('C:\DOCUME~1\4707~1\LOCALS~1\Temp\stxco9y6.sys');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
     DeleteFileMask('C:\Documents and Settings\рамиль\DoctorWeb\Quarantine', '*.*', true);
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    + лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    14
    Вес репутации
    32
    Видимо для второй флеши F надо выполнить те же операции,
    заменив G на F ?
    Вложения Вложения
    Последний раз редактировалось рамиль; 07.10.2010 в 11:52.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    карантин уберите из темы

    Добавлено через 3 минуты

    - удалите в MBAM
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\рамиль\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
    1.Профиксите в HijackThis
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\DOCUME~1\4707~1\LOCALS~1\Temp\vm0yeO5g.sys','');
     DeleteFile('C:\DOCUME~1\4707~1\LOCALS~1\Temp\vm0yeO5g.sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     QuarantineFile('C:\Program Files\Driver\Driver.DLL','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Последний раз редактировалось polword; 07.10.2010 в 11:43. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    14
    Вес репутации
    32
    Карантин из темы удалил.
    В MBAM остался неудаленным один зараженный файл.
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    В логах подозрительного нет.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  12. #11
    Junior Member Репутация
    Регистрация
    13.05.2008
    Сообщений
    14
    Вес репутации
    32
    Огромная благодарность всем тем,то исправляет наши ошибки и помогает нам!!!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 45
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\рамиль\\doctorweb\\quarantine\\a0039657. exe:userini.exe:$data - Trojan-Spy.Win32.Zbot.aovi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.466, AVAST4: Win32:MalOb-CS [Cryp] )
      2. c:\\documents and settings\\рамиль\\doctorweb\\quarantine\\a0042828. exe:userini.exe:$data - Trojan-Downloader.Win32.FraudLoad.haz ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.774, AVAST4: Win32:MalOb-CS [Cryp] )
      3. c:\\documents and settings\\рамиль\\doctorweb\\quarantine\\a0045017. exe:userini.exe:$data - Trojan-Downloader.Win32.FraudLoad.haz ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.774, AVAST4: Win32:MalOb-CS [Cryp] )
      4. c:\\windows\\explorer.exe:userini.exe - Trojan-Dropper.Win32.HDrop.abi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:Crypto-G [Drp] )
      5. c:\\windows\\explorer.exe:userini.exe:$data - Trojan-Dropper.Win32.HDrop.abi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:Crypto-G [Drp] )
      6. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
      7. c:\\windows\\system32\\userini.exe - Trojan-Dropper.Win32.HDrop.abi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:Crypto-G [Drp] )
      8. c:\\windows\\system32\\winlagon.exe - Trojan-Downloader.Win32.Small.kxp ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.508, AVAST4: Win32:MalOb-CS [Cryp] )
      9. g:\\izuvas\\izcipica.exe - P2P-Worm.Win32.Palevo.ayal ( DrWEB: Trojan.Packed.21005, BitDefender: Gen:Variant.Rimecud.3, AVAST4: Win32:Crumpache [Cryp] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) рамиль, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. BackDoor.Bulknet и Trojan.NtRootKit360.
      От Jynx в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:21
    2. backdoor.bulknet и Trojan.Sespy
      От Brandon в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:07
    3. Trojan backdoor.bulknet
      От AlexanderL в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:54
    4. Backdoor.Bulknet и Trojan.NtRootKit.248
      От Gray в разделе Помогите!
      Ответов: 60
      Последнее сообщение: 22.02.2009, 01:52
    5. Trojan.Fakealert.1228+BackDoor.Bulknet.225+Trojan. Packed.619
      От Rlumiur в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.09.2008, 11:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00973 seconds with 22 queries