BulkNet

Printable View

28.06.2007, 20:22
AndreyG

Вложений: 3

BulkNet

Не могу вылечить...
Трафик огромный из-за него
28.06.2007, 20:45
PavelA

Добавил еще одного

Многовато, может кого и забыл.
В AVZ выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winnet.dll','');
QuarantineFile('http.exe','');
QuarantineFile('c:\windows\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('c:\docume~1\andrey~1.hom\locals~1\temp\winlogon.exe','');
BC_DeleteFile('c:\windows\system32\drivers\ip6fw.sys');
BC_DeleteFile('c:\docume~1\andrey~1.hom\locals~1\temp\winlogon.exe');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('\??\C:\WINDOWS\system32\ksys.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин после перезагрузки, см. ссылку вверху темы "Прислать запрошенные файлы".

На этой машине ни антивируса, ни файервалла не наблюдается? :?
Странно, это выглядит.

Сделать новые логи. Посмотрим, что удалилось и не исчезай. Лечение, возможно, будет длинным.
28.06.2007, 20:46
AndreyG

После каждой перезагрузки DrWeb находит BackDoor.Bulknet в c:\windows\system32\drivers\ip6fw.sys
28.06.2007, 21:12
AndreyG

Вложений: 3

Закачал карантин.
Новые логи сделал.
Трафик посторонний исчез вроде...
28.06.2007, 21:19
PavelA

Карантин какой-то странный получился: без пароля, и нет некоторых файлов.
Сегодня убегаю, м.б. ночью кто посмотрит. Осталось еще штучек несколько зверушек.
28.06.2007, 21:25
AndreyG

Спасибо. Вроде все ок
29.06.2007, 01:31
Bratez

[QUOTE]Спасибо. Вроде все ок[/QUOTE]
Не все, как минимум один зверек еще жив, и мусора много.
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\ANDREY~1.HOM\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('http.exe');
DeleteFile('C:\WINDOWS\system32\winnet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDHhd+DajHSmVo+L2EpFGQ1IRIpy90EdJyrIllsNphrABqNkxXfdcWQrrYFFGMkisCKRvOQWVF29EVc+orsWSMqOv0jKQhKfNYd3weVUygsLVq5s8m0qdf9osXEDilL3rYEpqWfA7rVFmqvZg4uetaR8ZYkLXN5s2DY2b5/3tDSZYi8YSogJc8Ctak4YukSyD0r44lH4RE=
O2 - BHO: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll
O2 - BHO: Yahoo ToolBar - {BE756CFF-ADB4-4bc5-A35F-19E546E5710E} - C:\WINDOWS\system32\winnet.dll (file missing)
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Program Files\Starware\bin\Starware.dll (file missing)
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Program Files\Starware\bin\Starware.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft Status] http.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ANDREY~1.HOM\LOCALS~1\Temp\winlogon.exe
O9 - Extra button: Поиск рефератов - {EEC1A0A4-CE43-400D-9173-F709499DE88E} - D:\Oleg\1\poiskref\D764~1\bar.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
[/code]
(некоторых строк может уже не оказаться).
Перезагрузитесь и сделайте новые логи п.10-13 правил для контроля.
29.06.2007, 22:54
AndreyG

Вложений: 2

Сделал.
Вот логи для контроля...
30.06.2007, 04:07
Bratez

Вот теперь действительно все ОК.

Ради чистоты я бы пофиксил еще некоторые объекты автозапуска ввиду их практической бесполезности, но это уже на ваше усмотрение:
[code]
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
[/code]
22.02.2009, 01:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\andrey~1.hom\\locals~1\\temp\\winlogon.exe - [B]Virus.Win32.Grum.k[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\ksys.sys - [B]Rootkit.Win32.Agent.eb[/B] (DrWEB: Trojan.NtRootKit.248)[*] c:\\windows\\system32\\svshost.dll - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: BackDoor.Dld.1162)[*] c:\\windows\\system32\\winload.dll - [B]Trojan-Spy.Win32.Small.gv[/B] (DrWEB: Trojan.PWS.Grabber)[/LIST][/LIST]