проверьте пожалуйста

[fotorama]

Доброго времени суток. принесли мне комп проверял ПК спомошью cureit и АВЗ...... cureati нашло 2 backdoor.bulknet и вроде как удалило
далие в обычном режими винды проверял спомощю авз она нашла такойже файл какой должна была удалить cureit и даже поместила в свой карантин......
логи авз я посмотрел вроде все чисто даже очень..... но мне кажеться что всетаки чтото осталось......
проверьте пожалуйста полностью доверяю вашей обьективности и провесеанолизму...
согласно правилам прилогаю логи

[PavelA]

Вот что осталось. Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
 BC_DeleteSvc('runtime2');
 BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки прислать карантин.

В качестве дополнения обновить Java до 1.6

[fotorama]

[quote=PavelA;117549]Вот что осталось. Выполнить скрипт:
[code]
QuarantineFile('\SystemRoot\system32\drivers\runti me2.sys','');
quote]
блин а я думал runtime2.sys это стандартный драйвер помоемому даже атишный
яву к несчастью обновить не смогу у компа нет сейчас выхода в инет да и пусть кто заражал тот и обновляет
карантин закачал
Файл сохранён как 070622_111408_virus.fotorama_467b76c00d03a.zip

Размер файла 44749

MD5 750bc5a5a1f8f2c5cabb0ba22a74acb6

[PavelA]

runtime2.sys, runtime.sys + xpxd.sys - стандартный набор для данного зловреда. В последнем названии правда могу ошибаться.

Сейчас посмотрим на карантин на вирустотал. Кстати, сам можешь туда заглянуть с этим файлом, если Инет есть.
Да, и нужно логи заново сделать.

[fotorama]

runtime2.sys, runtime.sys + xpxd.sys - стандартный набор для данного зловреда. В последнем названии правда могу ошибаться.

Сейчас посмотрим на карантин на вирустотал. Кстати, сам можешь туда заглянуть с этим файлом, если Инет есть.
Да, и нужно логи заново сделать.

логи щас зделаю а с радной ситемы выхода в инет нету.....
так бы проверил а сосвоей рабочей немогу унас на сервере вирус тотал стоит в закрытых ресурсах

[fotorama]

а вот и логи

[PavelA]

До вирустотал карантин не доехал. Мой родной симантек убил runtime2.sys.
Ждем новые логи.

[fotorama]

До вирустотал карантин не доехал. Мой родной симантек убил runtime2.sys.
Ждем новые логи.

а что хоть это было и что оно делало?

[PavelA]

См. здесь http://securityresponse.symantec.com...448-99&tabid=1
На англицком, правда.

[fotorama]

См. здесь http://securityresponse.symantec.com...448-99&tabid=1
На англицком, правда.

проще говоря чтото вроде обычного спамбота я правельно понел?

[PavelA]

Оно самое. Причем очень популярное. За посл. неделю на этом форуме много тем с этой гадостью.

[fotorama]

Оно самое. Причем очень популярное. За посл. неделю на этом форуме много тем с этой гадостью.

ясно... спасибо за помощь....
можно считать что комп чист?
меня еще интерисуют вот эти строчки они нормальные или же лутьше профиксить?

Код:

 
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (в сособенности эта строчка)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

[Bratez]

меня еще интерисуют вот эти строчки

Ничего вредного.
Первые две если пофиксите, ничего не потеряете, третью оставьте.

[fotorama]

Ничего вредного.
Первые две если пофиксите, ничего не потеряете, третью оставьте.

понел щас сделаю
благодарю всех кто помогал.