[SIZE=3]Словил пользователь в сети вирус Backdoor.BulkNet. Теперь если компьютер в сети Internet стопорится. Из сети то компьютер отключили, но это же не дело??? Что посоветуете???[/SIZE]
[SIZE=3]Словил пользователь в сети вирус Backdoor.BulkNet. Теперь если компьютер в сети Internet стопорится. Из сети то компьютер отключили, но это же не дело??? Что посоветуете???[/SIZE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните вот такой скрипт в AVZ[/URL].
AVZ -> Меню Файл -> Выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('rsvp322.dll','');
QuarantineFile('c:\windows\system32\finger.dll','');
QuarantineFile('C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL','');
QuarantineFile('C:\WINDOWS\system32\win_5.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\win_5.dll');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/code]
После выполнения скрипта, компьютер перезагрузится.
После перезагрузки, пришлите попавшие в карантин файлы согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правилам.[/URL] (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Плюс сделайте [U]все три лога по правилам[/U].
[SIZE=3]Скрипт запустил. Высылаю логи[/SIZE]
Шрифт не ставь крупный в сообщениях. Читать неудобно.
[B]Rootkit.Win32.Agent.dp[/B], [B]Trojan-Downloader.Win32.Agent.brk[/B], [B]Rootkit.Win32.Agent.ey[/B] - это то что мы удалили у вас в системе.
Осталось почистить следы...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните вот такой скрипт в AVZ[/URL].
AVZ -> Меню Файл -> Выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
ClearQuarantine;
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\finger.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
AutoFixSPI;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта, компьютер перезагрузится.
После перезагрузки, пришлите попавшие в карантин файлы согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правилам.[/URL] (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
После этого, сделать логи пп. 10-13 из правил.
Всё вроде бы нормализовалось. smartdrv.exe исчез. На всякий случай высылаю Log файлы.
1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\finger.dll (file missing)
O23 - Service: Служба загрузки изображений (WIA) stisvcPlugPlay (stisvcPlugPlay) - Unknown owner - C:\WINDOWS\system32\activedsr.exe (file missing)
[/code]
2.Отключить лишние сервисы :
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
3.файрвол поставить, или хотя-бы виндовый включить.
4.Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-1993962763-1275210071-682003330-500\\dc2.exe - [B]Trojan.Win32.Agent.auh[/B] (DrWEB: BackDoor.Bulknet.139)[*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.321)[/LIST][/LIST]