Backdoor.Bulknet и trojan.ntrootkit.248

[Vointorf]

Стоит Dr.web
Проблемы с удаление что делать ??

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
 QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
 QuarantineFile('C:\DOCUME~1\Wirludo\LOCALS~1\Temp\2764.exe','');
 DeleteFile('C:\DOCUME~1\Wirludo\LOCALS~1\Temp\2764.exe');
 DeleteFile('C:\WINDOWS\system32\svchоst.exe');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
 BC_ImportALL;
 BC_QrSvc('runtime');
 BC_QrSvc('runtime2');
 BC_QrSvc('NDnet1');
 BC_QrSvc('ip6fw');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('NDnet1');
 BC_DeleteSvc('ip6fw');
 BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[Vointorf]

Сдела - отослал

[Bratez]

Странно, почти ничего не удалилось.
Вы не забыли восстановление системы отключить? Отключите обязательно.
Выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\svchоst.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
 BC_ImportDeletedList;
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('NDnet1');
 BC_DeleteSvc('ip6fw');
 BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте все три лога по правилам.

[Vointorf]

Было сделано с самого начала...
На рабочем столе в свойствах мой компьютера поставлена галачка запрета восстановления системы.
Выгружен и поставлен на ручной режим мониторинг Dr.web
Запущен эксплорер.
Сделаны логи.
Выполнен указанный скрипт.
Отосланы материалы по карантину.
Сделаны логи.
( есть вопрос интернет обязательно отключат - в правилах не сказано или не увидел, входить в безопасный режим или в обычном, при сканировании указывать все диски системы - по умолчанию указывается только диск С)

[Bratez]

есть вопрос интернет обязательно отключат - в правилах не сказано или не увидел, входить в безопасный режим или в обычном, при сканировании указывать все диски системы - по умолчанию указывается только диск С

Интернет отключать, т.к. отключаем антивирус, нельзя же без защиты.
Выполняем в обычном, если явно не сказано про безопасный.
Никакие диски указывать не надо, просто выполняем скрипты.

Теперь по теме. Опять все основные ваши зловреды живы.
Попробуем еще разок.
Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - (no file)
O2 - BHO: (no name) - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('NDnet1');
 BC_DeleteSvc('ip6fw');
 BC_DeleteSvc('PowerManager');
 BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\system32\svchоst.exe');
 BC_DeleteFile('C:\WINDOWS\temp\startdrv.exe');
 BC_Activate;
RebootWindows(true);
end.

После перезагрузки еще раз сделайте логи.

[Vointorf]

С этим проде разобрались - больше не появляются файлы...
Надеюсь там больше ничего нет ??

[drongo]

У меня такое чувство, что что-то ещё осталось.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
    QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
 QuarantineFile('C:\Program Files\cFosSpeed\spd.exe ','');
 QuarantineFile('C:\WINDOWS\system32\\Drivers\stremu.SYS','');
 QuarantineFile('C:\WINDOWS\system32\LVPr2Mon.sys','');
 QuarantineFile('C:\WINDOWS\Explorer.EXE','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.

boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу !
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10750

[Vointorf]

каратин отправлен 070701_235334_virus_4688063ee3ca2.zip
Требуемый лог прилогается
Жду вердикта ..........

[Bratez]

В карантине ничего вредоносного нет.
Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','system');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','system');
DeleteFile('C:\WINDOWS\svchost.bak');
DeleteFile('C:\Program Files\DrWeb\Infected.!!!\*.*');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

и сделайте лог п.10 правил для контроля.

И еще один момент, посмотрите, что пишет AVZ про ваши хрумеры:

Код:

C:\download\Xrumer\Xrumer\2.5\XPYMEP_.EXE - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
C:\Downloads\Xrumer3\xdemo\xdemo3.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
C:\Downloads\Xrumer3\xrumer\xdemo3.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)

Так что прежде чем пользовать, закиньте их на всякий случай на www.virustotal.com, мало ли что.

[Vointorf]

Вроде все норма ....
Огромное спасибо - вы занимаетесь отважным делом спасением.........
Сам бы не справился -так что удачи вам во всем.....

[Muzzle]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

[Vointorf]

Ошибка ; в позоции 7/1
Скрипт не выплняется

[Muzzle]

выполните скрипт,поправил.

[Vointorf]

Отправил карантин - жду вердикт !!!

[Muzzle]

Вирустотал сказал что всё чисто,подождём ответ ЛК.(по всей видимости файл принадлежит акробат ридеру)
Кроме него ничего подозрительного больше нет.если симптомы пропали,то лечение можно считать законченным

[Vointorf]

Во супер огромное спасибо - теперь спокоен за инфу и в общем...
Если попадаются вирусы так попадаю по полной ))
Удачи вам и вашему проекту........

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 27
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\docume~1\\wirludo\\locals~1\\temp\\2764.exe - Virus.Win32.Grum.m (DrWEB: Trojan.Packed.147)
  2. c:\\windows\\svchost.exe - Trojan-Downloader.Win32.Agent.bwx (DrWEB: Trojan.DownLoader.25802)