Printable View
[ATTACH]12297[/ATTACH]
[ATTACH]12298[/ATTACH]
[ATTACH]12299[/ATTACH]
при загрузке создается C:\windows\temp\startdrv.exe
лезет в интернет C:\windows\system32\services.exe
а так же подозрительная активность Netbios, и еще 1 процесс n/a лезет на удаленный IP
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrSvc('runtime2');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]Потом ещё один [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\Dark\Рабочий стол\remove.bat','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
Сделано ! отправил все что вы просили.
ЗЫ :)
зря вы на мой самодельный "антивирус" (remove.bat) грешили :D
нада же было как-то временно спасатся от вируса, черт его знает что он делал Startdrv.exe :?
мне вот еще интерестно что это? ->
n/a UDP 255.255.255.255 BOOTPC Allow DHCP ВХОД 213 байт/с
(лог фаервола)
че ему там нада ? :)
Батник remove.bat можно из автозагрузки убрать. Он теперь не нужен. А что это такое D:\Programs\Internet programs\Segodnya\shellProject.exe?
Мне не понравилась в логах вот эта строчка [code]1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1][/code] Сделайте пожалуйста ещё один лог, как написано [URL="http://virusinfo.info/showthread.php?t=10387"]здесь[/URL].
Радмин сами ставили?
Да, РАдмин ставил, там стоит пароль, все ок
ШеллПроджект - ето в делфи написанная прога для чтения новостей с сайта Сегодня :)
Логи собирал в безопасном режиме
буду делать новые.......
Понял... Сделайте просто логи в обычном режиме.
сделано.
[QUOTE]зря вы на мой самодельный "антивирус" (remove.bat) грешили[/QUOTE]Откуда же я мог знать, что это ваш "антивирус"? :)
[QUOTE]мне вот еще интерестно что это? ->
n/a UDP 255.255.255.255 BOOTPC Allow DHCP ВХОД 213 байт/с
(лог фаервола)
че ему там нада ?[/QUOTE]Это Вам расскажут пользователи Outpost. Что-то не могу понять, пропустил он или запретил :?
В логах все чисто.
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Закачал вам базу, огромное спасибо за помощь !
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\startdrv.exe - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]