Словил пользователь в сети вирус Backdoor.BulkNet. Теперь если компьютер в сети Internet стопорится. Из сети то компьютер отключили, но это же не дело??? Что посоветуете???
Backdoor.BulkNet вешает Internet в локальной сети. Что делать?
Словил пользователь в сети вирус Backdoor.BulkNet. Теперь если компьютер в сети Internet стопорится. Из сети то компьютер отключили, но это же не дело??? Что посоветуете???
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните вот такой скрипт в AVZ.
AVZ -> Меню Файл -> Выполнить скрипт:
После выполнения скрипта, компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); QuarantineFile('rsvp322.dll',''); QuarantineFile('c:\windows\system32\finger.dll',''); QuarantineFile('C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL',''); QuarantineFile('C:\WINDOWS\system32\win_5.dll',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys'); DeleteFile('C:\WINDOWS\system32\win_5.dll'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
После перезагрузки, пришлите попавшие в карантин файлы согласно правилам. (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Плюс сделайте все три лога по правилам.
Скрипт запустил. Высылаю логи
Шрифт не ставь крупный в сообщениях. Читать неудобно.
Последний раз редактировалось PavelA; 03.08.2007 в 15:14.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Rootkit.Win32.Agent.dp, Trojan-Downloader.Win32.Agent.brk, Rootkit.Win32.Agent.ey - это то что мы удалили у вас в системе.
Осталось почистить следы...
Выполните вот такой скрипт в AVZ.
AVZ -> Меню Файл -> Выполнить скрипт:
После выполнения скрипта, компьютер перезагрузится.Код:begin SearchRootkit(true, true); ClearQuarantine; SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\finger.dll',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportALL; AutoFixSPI; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки, пришлите попавшие в карантин файлы согласно правилам. (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
После этого, сделать логи пп. 10-13 из правил.
Всё вроде бы нормализовалось. smartdrv.exe исчез. На всякий случай высылаю Log файлы.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2.Отключить лишние сервисы :Код:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\finger.dll (file missing) O23 - Service: Служба загрузки изображений (WIA) stisvcPlugPlay (stisvcPlugPlay) - Unknown owner - C:\WINDOWS\system32\activedsr.exe (file missing)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
3.файрвол поставить, или хотя-бы виндовый включить.
4.Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-1993962763-1275210071-682003330-500\\dc2.exe - Trojan.Win32.Agent.auh (DrWEB: BackDoor.Bulknet.139)
- c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
- c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321)
Уважаемый(ая) Arhimed08, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
