проверьте пожалуйста

Доброго времени суток. принесли мне комп проверял ПК спомошью cureit и АВЗ...... cureati нашло 2 backdoor.bulknet и вроде как удалило
далие в обычном режими винды проверял спомощю авз она нашла такойже файл какой должна была удалить cureit и даже поместила в свой карантин......
логи авз я посмотрел вроде все чисто даже очень..... но мне кажеться что всетаки чтото осталось......
проверьте пожалуйста полностью доверяю вашей обьективности и провесеанолизму...
согласно [B][URL="http://virusinfo.info/showthread.php?t=1235"]правилам [/URL] прилогаю логи[/B]

Вот что осталось. Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
BC_DeleteSvc('runtime2');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать карантин.

В качестве дополнения обновить Java до 1.6

[quote=PavelA;117549]Вот что осталось. Выполнить скрипт:
[code]
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
quote]
блин а я думал runtime2.sys это стандартный драйвер помоемому даже атишный
яву к несчастью обновить не смогу у компа нет сейчас выхода в инет да и пусть кто заражал тот и обновляет
карантин закачал
Файл сохранён как 070622_111408_virus.fotorama_467b76c00d03a.zip

Размер файла 44749

MD5 750bc5a5a1f8f2c5cabb0ba22a74acb6

runtime2.sys, runtime.sys + xpxd.sys - стандартный набор для данного зловреда. В последнем названии правда могу ошибаться.

Сейчас посмотрим на карантин на вирустотал. Кстати, сам можешь туда заглянуть с этим файлом, если Инет есть.
Да, и нужно логи заново сделать.

[quote=PavelA;117555]runtime2.sys, runtime.sys + xpxd.sys - стандартный набор для данного зловреда. В последнем названии правда могу ошибаться.

Сейчас посмотрим на карантин на вирустотал. Кстати, сам можешь туда заглянуть с этим файлом, если Инет есть.
Да, и нужно логи заново сделать.[/quote]
логи щас зделаю а с радной ситемы выхода в инет нету.....
так бы проверил а сосвоей рабочей немогу унас на сервере вирус тотал стоит в закрытых ресурсах

а вот и логи

До вирустотал карантин не доехал. Мой родной симантек убил runtime2.sys.
Ждем новые логи.

[quote=PavelA;117560]До вирустотал карантин не доехал. Мой родной симантек убил runtime2.sys.
Ждем новые логи.[/quote]
а что хоть это было и что оно делало?

См. здесь [url]http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99&tabid=1[/url]
На англицком, правда.

[quote=PavelA;117569]См. здесь [URL]http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99&tabid=1[/URL]
На англицком, правда.[/quote]
проще говоря чтото вроде обычного спамбота я правельно понел?

Оно самое. Причем очень популярное. За посл. неделю на этом форуме много тем с этой гадостью.

[quote=PavelA;117585]Оно самое. Причем очень популярное. За посл. неделю на этом форуме много тем с этой гадостью.[/quote]
ясно... спасибо за помощь....;)
можно считать что комп чист?
меня еще интерисуют вот эти строчки они нормальные или же лутьше профиксить?
[code]
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll ([COLOR="Red"]в сособенности эта строчка[/COLOR])
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
[/code]

[QUOTE]меня еще интерисуют вот эти строчки [/QUOTE]
Ничего вредного.
Первые две если пофиксите, ничего не потеряете, третью оставьте.

[quote=Bratez;117597]Ничего вредного.
Первые две если пофиксите, ничего не потеряете, третью оставьте.[/quote]
понел щас сделаю
благодарю всех кто помогал.