Здравствуйте. Поймали и не можем убрать BackDoor.Bulknet.
Др. Вэб удаляет startdrv.exe из C:\Windows\Temp но после перезапуска он снова там.
Логи прикрепляю.
Printable View
Здравствуйте. Поймали и не можем убрать BackDoor.Bulknet.
Др. Вэб удаляет startdrv.exe из C:\Windows\Temp но после перезапуска он снова там.
Логи прикрепляю.
Отключить антивирус.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[CODE]begin
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
BC_DeleteSvc('runtime2.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин согласно приложения 3 правил (ссылка сверху темы)
и boot_clr.log из дриктории AVZ.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrSvc('runtime2');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]Потом ещё один[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\cmicnfg.cpl','');
QuarantineFile('c:\windows\system32\wgatray.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: NavLogon - C:\WINDOWS\[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи. Настройки прокси-сервера сами прописывали? В логах не видно не антивируса ни файрвола. Надо бы поставить.
карантин здесь:
Файл сохранён как 070614_203225_virus_46716d990f3f5.zip
Размер файла 20333497
MD5 2a297fca27e93ff5d4c269aa1c54c2dc
логи:
прокси настаривал не сам....
антивирусы новые и файрвол буду устанавливать завтра
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.agrico.ru:8080[/CODE]Будем ждать результата анализа файлов. Проблема решена?
:good: вроде зверь пропал и больше пока не показывается.
Спасибо огромное что откликнулись.
Завтра выставлю антивирь и стенку.
Результаты анализа пока не пришли, так что не пропадайте.
периодически просматриваю
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system\\cmicnfg.cpl - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Agent.brl[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]