BN??.TMP

Printable View

15.03.2008, 05:51
Мiшелька

Вложений: 3

BN??.TMP

Здравствуйте,
в С:\WINDOWS\System32\Темр
расплодились файлы BN??.ТМР.
COMODO сообщает, что они лезут в Интернет.
Помогите, пожалуйста.:)
15.03.2008, 09:11
Bratez

1. Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('ZZZdrv_lich');
BC_DeleteSvc('Ykx16');
BC_DeleteSvc('Ygg45');
BC_DeleteSvc('Xwm52');
BC_DeleteSvc('Wts87');
BC_DeleteSvc('Wqo25');
BC_DeleteSvc('Wej67');
BC_DeleteSvc('Vym61');
BC_DeleteSvc('Vef05');
BC_DeleteSvc('Uul37');
BC_DeleteSvc('Utq41');
BC_DeleteSvc('Uly02');
BC_DeleteSvc('Uaf32');
BC_DeleteSvc('Txc85');
BC_DeleteSvc('Ttk23');
BC_DeleteSvc('Tqx65');
BC_DeleteSvc('Swe40');
BC_DeleteSvc('Snx48');
BC_DeleteSvc('Sca32');
BC_DeleteSvc('Rws88');
BC_DeleteSvc('Rsi55');
BC_DeleteSvc('Rab05');
BC_DeleteSvc('Qsf43');
BC_DeleteSvc('Qmg20');
BC_DeleteSvc('Pni24');
BC_DeleteSvc('Pmm43');
BC_DeleteSvc('Pks33');
BC_DeleteSvc('Pdx16');
BC_DeleteSvc('Pcr26');
BC_DeleteSvc('Otp30');
BC_DeleteSvc('Oja88');
BC_DeleteSvc('Nkr50');
BC_DeleteSvc('Mnw85');
BC_DeleteSvc('Mky83');
BC_DeleteSvc('Mkx78');
BC_DeleteSvc('Mjk31');
BC_DeleteSvc('Lpq12');
BC_DeleteSvc('Kue27');
BC_DeleteSvc('Jwv03');
BC_DeleteSvc('Jvd06');
BC_DeleteSvc('Jjd35');
BC_DeleteSvc('Jdv08');
BC_DeleteSvc('Jdr00');
BC_DeleteSvc('Its21');
BC_DeleteSvc('Ira43');
BC_DeleteSvc('Imt47');
BC_DeleteSvc('Hoo51');
BC_DeleteSvc('Hfv60');
BC_DeleteSvc('Hdl73');
BC_DeleteSvc('Haq20');
BC_DeleteSvc('Haj26');
BC_DeleteSvc('Gqw14');
BC_DeleteSvc('Gkp50');
BC_DeleteSvc('Gfv74');
BC_DeleteSvc('Fxo34');
BC_DeleteSvc('Fte21');
BC_DeleteSvc('Fry33');
BC_DeleteSvc('Ffq88');
BC_DeleteSvc('Eks71');
BC_DeleteSvc('Ekc78');
BC_DeleteSvc('Edo36');
BC_DeleteSvc('Ean25');
BC_DeleteSvc('Csh66');
BC_DeleteSvc('Cly17');
BC_DeleteSvc('Che78');
BC_DeleteSvc('Bjj44');
BC_DeleteSvc('Bfk83');
BC_DeleteSvc('Bfe85');
BC_DeleteSvc('Awn20');
BC_DeleteSvc('Awe35');
BC_DeleteSvc('Avk77');
BC_DeleteSvc('Asy12');
BC_DeleteSvc('Agg48');
BC_DeleteSvc('Aap16');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

2. Выполните второй скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Eta46');
SetServiceStart('Eta46', 4);
QuarantineFile('c:\1D02.tmp','');
QuarantineFile('C:\WINDOWS\System32\drivers\Eta46.sys','');
QuarantineFile('C:\WINDOWS\TEMP\BN14.tmp','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\msnethlp.dll','');
QuarantineFile('c:\windows\system32\appmgmtss.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\TEMP\BN14.tmp');
DeleteFile('C:\WINDOWS\System32\drivers\Eta46.sys');
DeleteFile('c:\1D02.tmp');
BC_ImportALL;
BC_DeleteSvc('Eta46');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

3. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=19853[/url]).

4. [b]Обновите базы AVZ[/b] и сделайте новые логи.
15.03.2008, 13:08
Мiшелька

Вложений: 3

Спасибо за отклик.:)
Оба скрипта успешно выполнила.
Карантин отправила.
Логи прилагаю.
Очень жду инструкций.:)
15.03.2008, 14:18
Bratez

Все получилось отлично, осталось подчистить кое-что по мелочи.

Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Yax01');
BC_DeleteSvc('Hxs78');
BC_DeleteSvc('Dcb54');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Откройте Проводник или Мой компьютер, выберите в меню [I]Сервис [/I]- [I]Свойства папки[/I], на вкладке [I]Вид [/I]снимите галку [I]Скрывать расширения для зарегистрированных[/I].
Откройте Блокнот, скопируйте и вставьте туда следующий текст:
[code]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00[/code]
Сохраните файл и измените ему расширение на [B].reg[/B], затем запустите его двойным щелчком. На вопрос о добавлении в реестр ответить положительно. Галку верните обратно.

После этого сделайте новые логи, начиная с п.10 правил.

[size="1"][color="#666686"][B][I]Добавлено через 48 минут[/I][/B][/color][/size]

Очистите полностью папку [b]C:\WINDOWS\TEMP[/b] - есть предположение, что там еще могут быть вредоносные bn??.tmp, да и вообще полезно почистить "мусоросборник".
Попробуйте также поискать через AVZ - Сервис - Поиск файлов на диске, задав маску поиска [i]bn??.tmp[/i] и область - диск С:. Если что-то найдется - удаляйте.
([b]Karlson[/b] - спасибо за подсказку).
15.03.2008, 15:37
Мiшелька

Вложений: 2

Спасибо.:)
Здорово, когда есть кто-то, кто поможет справиться с бедой.:)
А вдвойне приятно, когда этот кто-то знает как с ней, зловредной>:(, справиться!:)
Докладываю:
1. Пофиксила.
2. Скрипт выполнила.
3. Галку сняла.
4. Добавила текст в реестр.
(Ой, галку обратно не вернула...:(
Сейчас отвечу - и верну. Надеюсь, что это не страшно)
5. Логи прикрепляю.
6. И только хотела спросить, что делать с кучей этих BN...TMPов, которые остались в TEMP, а Вы уже добавили разъяснение.
Еще раз спасибо.:) И Карлсону я тоже очень благодарна.:)
УРА!

7. Поискала BN*.TMP через AVZ - нет! Ура еще раз!
(Галку вернула)
15.03.2008, 15:50
Bratez

Теперь все чисто.

Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
15.03.2008, 16:07
Мiшелька

Хорошо.:)
Еще раз - СПАСИБО!
И УРА!:)
22.02.2009, 04:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\bn14f.tmp - [B]Trojan.Win32.Agent.apck[/B] (DrWEB: BackDoor.Bulknet.320)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Agent.kif[/B] (DrWEB: Trojan.DownLoader.49451)[*] c:\\windows\\temp\\bn14.tmp - [B]Trojan-Downloader.Win32.Agent.leu[/B] (DrWEB: Trojan.DownLoader.50217)[*] \\wscui.cpl - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.bt[/B] (DrWEB: Trojan.Fakealert.2088)[/LIST][/LIST]