Невозможно избавиться от BackDoor.Bulknet.55

**V_Bond** · 11.09.2007, 23:34

в логах чисто...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**OlegXON** · 12.09.2007, 00:46

Хорошие новости. Спасибо. Тогда, пока все

**OlegXON** · 16.09.2007, 03:11

Посмотрите еще пожалуйста

**Muzzle** · 16.09.2007, 10:48

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11883

что из этого вам нужно?остальное пофиксим

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: разрешен автоматический вход в систему

**OlegXON** · 16.09.2007, 11:44

Скрипт прогнал. Карантин выслал.
Это можно запретить
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

**V_Bond** · 16.09.2007, 12:08

C:\WINDOWS\system32\ntkrnlpa.exe
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
C:\WINDOWS\system32\ntoskrnl.exe
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
подождем вердикт вирлаба .....
C:\WINDOWS\system32\DRIVERS\tcpip.sys -чистый
выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

**OlegXON** · 16.09.2007, 12:13

выполнил

**OlegXON** · 16.09.2007, 14:12

Стало хуже. Комп перегружается. Фаерволом заблоблокировал Explorer, который слал исходящее.

**V_Bond** · 16.09.2007, 19:37

Сообщение от OlegXON

Стало хуже. Комп перегружается. Фаерволом заблоблокировал Explorer, который слал исходящее.

не знаю после чего хуже ... ничего не делалось ... (устранили только потенциальные уязвимости)
C:\WINDOWS\system32\ntkrnlpa.exe- Trojan-Dropper.Win32.Agent.bwf,
C:\WINDOWS\system32\ntoskrnl.exe - Trojan-Dropper.Win32.Agent.bwg
искать диск с дистрибутивом и заменять оба ...

**OlegXON** · 16.09.2007, 22:37

Файлы еще не заменял. Explorer.exe продолжает гнать трафик. Комп постоянно зависает. ДрВеб нашел в корне трояна

**V_Bond** · 16.09.2007, 22:43

Trojan-Dropper - предназначен для установки в систему других зловредов ... пока не разберемся с ними ,остальное лечить нет смысла...

**OlegXON** · 16.09.2007, 23:20

ntoskrnl.exe заменил из дистрибутива.
ntkrnlpa.exe на диске нет
В дистрибутиве есть только NTKRNLMP.EX_. Его я тоже заменил
Кроме того на винте есть еще ntkrpamp.exe, которого на диске тоже нет.
Небольшой прогресс - Эксплорер.ехе больше не грузит трафик.

**V_Bond** · 16.09.2007, 23:29

возьмите этот ntkrnlpa.exe

**OlegXON** · 17.09.2007, 01:49

Спасибо за ссылку. Файл заменил

**V_Bond** · 17.09.2007, 01:58

повторите логи....

**OlegXON** · 18.09.2007, 01:22

новые логи

**Muzzle** · 18.09.2007, 02:54

в логах больше ничего подозрительного нет.

**OlegXON** · 15.10.2007, 00:18

BackDoor.PSClient - еще один вирус, а может и не один - посмотрите пожалуйста.

**V_Bond** · 15.10.2007, 00:24

выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\tlhelp32.exe','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');    
 QuarantineFile('C:\WINDOWS\system32\sfc_os.dll',''); 
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения з правил ...