Trojan downloader

[Sharpeye]

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log


при загрузке создается C:\windows\temp\startdrv.exe

лезет в интернет C:\windows\system32\services.exe

а так же подозрительная активность Netbios, и еще 1 процесс n/a лезет на удаленный IP

[Макcим]

Выполните скрипт в AVZ

Код:

begin
ClearQuarantine;
 BC_QrSvc('runtime2');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_Activate;
 RebootWindows(true);
end.

Потом ещё один

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\Documents and Settings\Dark\Рабочий стол\remove.bat','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

[Sharpeye]

Сделано ! отправил все что вы просили.

ЗЫ

зря вы на мой самодельный "антивирус" (remove.bat) грешили

нада же было как-то временно спасатся от вируса, черт его знает что он делал Startdrv.exe

мне вот еще интерестно что это? ->

n/a UDP 255.255.255.255 BOOTPC Allow DHCP ВХОД 213 байт/с
(лог фаервола)

че ему там нада ?

[Макcим]

Батник remove.bat можно из автозагрузки убрать. Он теперь не нужен. А что это такое D:\Programs\Internet programs\Segodnya\shellProject.exe?

Мне не понравилась в логах вот эта строчка

Код:

1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 Ошибка обмена с драйвером  [00000002] - [1]

Сделайте пожалуйста ещё один лог, как написано здесь.
Радмин сами ставили?

[Sharpeye]

Да, РАдмин ставил, там стоит пароль, все ок
ШеллПроджект - ето в делфи написанная прога для чтения новостей с сайта Сегодня

Логи собирал в безопасном режиме
буду делать новые.......

[Макcим]

Понял... Сделайте просто логи в обычном режиме.

[Sharpeye]

сделано.

[Макcим]

зря вы на мой самодельный "антивирус" (remove.bat) грешили

Откуда же я мог знать, что это ваш "антивирус"?

мне вот еще интерестно что это? ->

n/a UDP 255.255.255.255 BOOTPC Allow DHCP ВХОД 213 байт/с
(лог фаервола)

че ему там нада ?

Это Вам расскажут пользователи Outpost. Что-то не могу понять, пропустил он или запретил

В логах все чисто.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[Sharpeye]

Закачал вам базу, огромное спасибо за помощь !

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\temp\\startdrv.exe - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)