Показано с 1 по 12 из 12.

Win32/Bubnix.AU (заявка № 90499)

  1. #1
    Junior Member Репутация
    Регистрация
    25.10.2010
    Сообщений
    6
    Вес репутации
    23

    Cool Win32/Bubnix.AU

    в папке drivers было два инфицированных объекта, один combofix пофиксил, другой остался:
    "C:\WINDOWS\system32\drivers\rfucddrc.sys - error opening" пишет нод
    OSAM его удалить не даёт, MBAM не видит

    Может ли Win32/Bubnix.AU вызывать BSOD?

    В логах возможно появление
    mbr C:\DOCUME~1\flynn\LOCALS~1\Temp\mbr.sys
    но я его уже удалил после создания логов.

    Огромное спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    25.10.2010
    Сообщений
    6
    Вес репутации
    23
    Спасибо за ответ.
    какой gmer долгий
    лог в аттаче
    Вложения Вложения
    • Тип файла: log gmer.log (35.4 Кб, 2 просмотров)

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    - Сохраните текст ниже как 1.bat в ту же папку, где находится rg7m3guc.exe(GMER) и запустите этот батник(1.bat):

    Код:
    rg7m3guc.exe -del service rfucddrc
    rg7m3guc.exe -del file "C:\WINDOWS\system32\inrnmie.dll"
    rg7m3guc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rfucddrc"
    rg7m3guc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rfucddrc"
    rg7m3guc.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rfucddrc"
    rg7m3guc.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  6. #5
    Junior Member Репутация
    Регистрация
    25.10.2010
    Сообщений
    6
    Вес репутации
    23
    в процессе выполнение скрипта возникли ошибки (на скриншотах). При попытке открыть ключ в реестре возникает ошибка доступа (на последнем скриншоте).
    Я, конечно, запустил AVZ, потом Gmer запущу, но это какбэ долго, и не лишено ли смысла?
    Спасибо.
    Изображения Изображения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,479
    Вес репутации
    2914
    На ошибки не обращайте внимания. Ждем новыe логи gmer и AVZ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    25.10.2010
    Сообщений
    6
    Вес репутации
    23
    кажется, всё по-старому
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по rfucddrc и выберите "Turn Run Off". Перезагрузку подтвердите.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('rfucddrc');   
     QuarantineFile('C:\WINDOWS\system32\Drivers\rfucddrc.sys','');
     QuarantineFile('C:\WINDOWS\system32\inrnmie.dll','');
     DeleteFile('C:\WINDOWS\system32\inrnmie.dll');     
     DeleteFile('C:\WINDOWS\system32\Drivers\rfucddrc.sys'); 
     BC_DeleteSvc('rfucddrc');   
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи АВЗ

  10. #9
    Junior Member Репутация
    Регистрация
    25.10.2010
    Сообщений
    6
    Вес репутации
    23
    Привет!
    Ранее я уже писал, что OSAM не отключает драйвер rfucddrc, пишет, что я не имею прав устанавливать драйвера. Ага.
    скрипт АВЗ тоже не помог. Выполнился, перезагрузился, но файл не удалил и карантин остался девственно чист.
    Короче, мне надоело, я загрузился под линухом и изменил имя файла. После этого соответствующим образом подредактированный скрипт АВЗ отработал успешно. Карантин прилагаю.
    Лечение можно считать оконченным, только один вопрос. После всех процедур с разными противовирусными программами (OSAM, MBAM, Combofix, HiJackThis) в консоли вылетела поддержка русского, хотя chcp показывает
    "Текущая кодовая страница: 1251" - этот текст скопирован из окна консоли, но там он нечитаем. Возможно, Вы сталкивались с этим у других юзеров. Если нет, буду копать сам. Спасибо.
    Изображения Изображения
    Последний раз редактировалось clackx; 27.10.2010 в 09:50. Причина: приложил скрины

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Удалите Combofix

    - Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите все важные обновления.
    - Установите IE 8 - даже если Вы им не пользуетесь.

  12. #11
    Junior Member Репутация
    Регистрация
    25.10.2010
    Сообщений
    6
    Вес репутации
    23
    Спасибо, sp3 помог.
    Всего доброго и удачи.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,518
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\~rfucddrc.sys - Rootkit.Win32.Bubnix.bao ( DrWEB: Trojan.NtRootKit.9658, BitDefender: Gen:Variant.Bubnix.1, AVAST4: Win32:Bubak [Rtk] )


  • Уважаемый(ая) clackx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Rootkit.Win32.Bubnix.esq (Win XP prof)
      От Vedmedya в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.10.2011, 13:41
    2. Rootkit.Win32.Bubnix.bba
      От dmitriys1986 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.11.2010, 19:34
    3. все тот же Win32/Bubnix.AU
      От SiR666 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.09.2010, 12:52
    4. Win32/Bubnix.AU
      От Kalemar в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.09.2010, 16:32
    5. Rootkit.Win32.Bubnix.is
      От skyAlex в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.08.2010, 13:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00649 seconds with 22 queries