Здравствуйте. DrWeb находит BackDoor.Bulknet.157, удаляет, но при перезагрузке все повторяется. Пожалуйста помогите.
Printable View
Здравствуйте. DrWeb находит BackDoor.Bulknet.157, удаляет, но при перезагрузке все повторяется. Пожалуйста помогите.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\6.tmp/r','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xhq32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rah64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qbk76.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qaj77.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nvd07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mvf76.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpw18.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt42.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fox61.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0000\~df394b.tmp','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0000\~dec142.tmp','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\SolidWorksLicTemp.0001','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Fox61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gnt42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpw18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mvf76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nvd07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qaj77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qbk76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rah64.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xhq32.sys');
DeleteFile('c:\6.tmp/r');
BC_ImportAll;
BC_DeleteSvc('symavc32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19602[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [advap32] c:\6.tmp/r
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll [/CODE]
Спасибо за оперативную помощь, карантин отправил. Не могу найти строчку "O4 - HKLM\..\Run: [advap32] c:\6.tmp/r"
Ну и ладно. Значит, AVZ почистила.
WLCtrl32.dll - [b]Trojan-Downloader.Win32.Agent.kvg[/b] по поводу Temp\SolidWorksLicTemp.0001.dir.0000\~df394b.tmp, SolidWorksLicTemp.0001.dir.0000\~dec142.tmp и SolidWorksLicTemp.0001 нужно подождать ответа аналитиков. Остальные в карантин не захотели. Сделайте новые логи посмотрим, все ли заведомо известные враги ушли.
еще раз огромное спасибо!