BackDoor.Bulknet.507

Printable View

16.10.2010, 12:57
DianaSt

BackDoor.Bulknet.507

добрый день
проблема с вирусом

доктор WEB пишет - "будет исцелен после рестарта",
но не исцеляет.
ndis.sys C:\WINDOWS\system32\dllcache BackDoor.Bulknet.507
ndis.sys C:\WINDOWS\system32\drivers BackDoor.Bulknet.507

сделала диагностику вроде так как объяснено у вас на сайте.
16.10.2010, 13:58
Никита Соловьев

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\nita.exe','');
QuarantineFile('C:\WINDOWS\Temp\4166612.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\iqqard.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\boucouloo.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\boucouloo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vyzyf');
DeleteFile('C:\Documents and Settings\Пользователь\iqqard.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\WINDOWS\Temp\4166612.exe');
DeleteFile('C:\WINDOWS\system32\nita.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','boreman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Замените [B]NDIS.SYS[/B] по инструкции [url]http://virusinfo.info/showthread.php?t=51654[/url]

Сделайте новые логи
16.10.2010, 14:25
DianaSt

карантин прислала
16.10.2010, 14:26
Никита Соловьев

Теперь нужно заменить файл и сделать новые логи
16.10.2010, 14:31
DianaSt

пытаюсь понять как это сделать согласно ссылке, которую вы прислали. Но так как далеко не специалист в этой области, то пока не разобралась. Буду очень благодарна, если объясните более досупно. спасибо заранее
16.10.2010, 14:34
Никита Соловьев

Два варианта замены:
- файлом из дистрибутива, как написано по ссылке выше
- Скопировать с другого ПК (на нём должна быть такая же ОС как на вашем)
16.10.2010, 15:22
DianaSt

я не могу понять как в дистрибутив заходить. Сеичас нахожусь за границеи, а ОС на русском, так что никто кроме вас не сможет мне помочь
16.10.2010, 16:49
Никита Соловьев

Есть Live CD?
16.10.2010, 17:27
DianaSt

нет, но его наверное можно скачать. только бы знать что именно

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

я скачала Pebuilder3110a это то что нужно?
16.10.2010, 17:39
Никита Соловьев

Подойдёт. Загрузите файл во вложении, извлеките из архива [B]NDIS.Sys[/B] и замените им файл в папке [B]C:\WINDOWS\System32\Drivers[/B] с помощью Live CD. После загрузите Вашу ОС и сделайте новые логи
16.10.2010, 17:46
DianaSt

программа открывается и сразу начинает искать установочные фаилы windows а потом пишет что ничего не нашел
может я не то скачала?
16.10.2010, 18:09
Никита Соловьев

Скачайте образ ERD Commander - это будет надёжнее
16.10.2010, 18:26
DianaSt

не получается скачать фаил, очень большой. ничего другое не поможет?
16.10.2010, 19:03
Никита Соловьев

Либо этот вариант: [url]http://virusinfo.info/showthread.php?t=51654[/url]
22.10.2010, 23:44
DianaSt

здравствуйте. Прислали файл ndis.sys, который по идее должен подходить. как можно его заменять? просто скопировать и вставить не получается. каким образом можно это сделать?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

если нет дистрибутива, можно ли заменить файл?
23.10.2010, 13:55
thyrex

[QUOTE='DianaSt;723512']Прислали файл ndis.sys, который по идее должен подходить. как можно его заменять? просто скопировать и вставить не получается. каким образом можно это сделать?[/QUOTE]Загрузиться с какого-либо Live CD самый лучший вариант
23.10.2010, 15:21
DianaSt

можете пожалуйста подробно объяснить как это сделать? почти 1 неделю не могу решить эту проблему. скачала с сайта [url]http://www.izone.ru/sys/utilities/microsoft-windows-xp-service-pack-download.htm[/url] новый windows, но не знаю насколько безопасно ставить его на PC, это поможет справиться с вирусом? Что посоветуете?
23.10.2010, 15:25
thyrex

[url]http://www.google.com.by/search?client=opera&rls=ru&q=%D0%9A%D0%B0%D0%BA+%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%B8%D1%82%D1%8C%D1%81%D1%8F+%D1%81+Live+CD&sourceid=opera&ie=utf-8&oe=utf-8[/url]
30.10.2010, 12:27
DianaSt

если не получается убрать этот вирус собственными силами, насколько опасно для ноутбука и его системы, если этот файл останется зараженным несколько месяцев, до возвращения в Беларусь, где понимающие люди вылечат?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

на счет live Cd, попробовала Live CD doctor Web, но ничего не получилось. какой вы посоветуете (скачать из интернета)?
31.10.2010, 11:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )[/LIST][/LIST]