Любопытство погубило

Printable View

07.07.2007, 16:11
Youshka

Вложений: 3

Любопытство погубило

Приходит письмо типа "привет светка посмотри мои фотки" с поддельной ссылкой. Я такие письма обычно удаляю, а тут решил посмотреть, а что там на странице "хакеров". Думаю от обычной html страницы ничего не будет. И вот результат компьютер заражен... Чтож они своего добильсь (частично). Помогите вылечить заразу.
07.07.2007, 16:33
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Только обратите внимание - прикреплять не [B]virusinfo_cure.zip[/B], а [B]virusinfo_syscure.zip [/B].
07.07.2007, 17:34
Youshka

Вложений: 3

Все сделал, как вы сказали, доктор;) Карантин отправлен. Вот новые логи:
07.07.2007, 17:48
Bratez

Похоже, восстановление системы не отключали?
Сделайте это сейчас, по окончании лечения можно будет включить обратно.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\System Volume Information\_restore{9A2E0C1A-DFFE-4BBA-B69E-ABEBC67B2139}\RP202\*.*');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Логи придется повторить еще раз.
07.07.2007, 18:25
Youshka

Вложений: 3

Вот логи:
07.07.2007, 18:33
Bratez

Теперь все чисто.
Антивирус поставьте себе какой-нибудь, одного фаервола маловато.
Как раз недавно вышла новая версия Касперского - 7.0,
рекомендую попробовать, 1 месяц бесплатно:
[url]http://www.kaspersky.ru/trials?chapter=186545207[/url]
12.07.2007, 19:24
Youshka

Большое спасибо за помощь! Поставил DrWeb, поставил Лисичку и Птичку, надеюсь впредь все будет гуд.
12.07.2007, 19:27
Макcим

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 02:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\systemroot\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]