Смог сделать только один лог, его прилагаю.
В безопасном режиме CureIt находит
[FONT=Arial CYR]startdrv.exe[/FONT][FONT=Arial CYR]C:\WINDOWS\Temp[/FONT][FONT=Arial CYR]BackDoor.Bulknet[/FONT]
Потом он опять появляется.
Жду совет!
Printable View
Смог сделать только один лог, его прилагаю.
В безопасном режиме CureIt находит
[FONT=Arial CYR]startdrv.exe[/FONT][FONT=Arial CYR]C:\WINDOWS\Temp[/FONT][FONT=Arial CYR]BackDoor.Bulknet[/FONT]
Потом он опять появляется.
Жду совет!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\lsass.dll','');
QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\temp\startdrv.exe,'');
BC_ImportQuarantineList;
BC_QrSvc('runtime2);
BC_DeleteSvc('runtime2);
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Скрипт выполнил, комп перезагрузился.
Стало легче - процессор не занят.
Карантин отправил, но похоже не все файлы попали - AVZ сообщал про попытку прямого чтения.
Надо ли отключать сканер SpiderGuard на время выполнения скриптов?
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\temp\startdrv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте все три лога по правилам.
Да, антивирус во время выполнения скриптов отключайте.
Скрипт волшебный выполнил,
C:\WINDOWS\temp\startdrv.exe
пропал и больше не появился:face2: .
Логи прилагаю.
Отлично. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\lsass.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
[/code]
и дело сделано ;)
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
Стоп! Не спешите, я одного пропустил, подождите!
[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
После фикса выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте снова логи п.10-13 правил.
Если что-то попадет в карантин - пришлите по правилам.
Пофиксил, скрипт выполнил.
Логи прилагаю.
В карантине только файл Мультилекса, но на всяк случай загружаю.
Теперь действительно чисто ;)
Спасибо, Bratez, за помощь днем и ночью!
:048: