Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 61.

Backdoor.Bulknet и Trojan.NtRootKit.248 (заявка № 10124)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62

    Thumbs up Backdoor.Bulknet и Trojan.NtRootKit.248

    Добрый день,
    появились подозрения на заражение, т.к. очень возрос входящий и исходящий трафик. DrWeb - CureIT обнаружила Backdoor.Bulknet и Trojan.NtRootKit.248 которые всякий раз детектируются после перезагрузки системы (при отключенном восстановлении системы). При запуске AVZ комп выдает системную ошибку и перегружается (при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys или похожее - очень быстро не успеаю заметить точно)
    Соответственно логи AVZ предоставить не могу. Только HiJackThis.
    Очень надеюсь на Вашу помощь!
    Последний раз редактировалось Gray; 03.06.2007 в 15:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    В папке C:\WINDOWS\system32 есть файлы с расширением *.dmp?

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Попробовать надо в безопасном режиме запустить AVZ
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    Таковых не нашел

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Сделайте так как написано здесь.

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    Честно говоря не слишком понял, что нужно сделать по приведенному алгоритму. Тем не менее в безопасном режиме AVZ по запрашиваемым скриптам выполнить удалось. Однако логи не создались почему-то. Все, что появилось в папке LOG прилагаю.
    Последний раз редактировалось Gray; 03.06.2007 в 15:04.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Однако логи не создались почему-то.
    Сделайте так:
    В нормальном режиме в AVZ - Файл - Стандартные скрипты - отметить #1 - Выполнить, затем Файл - Исследование системы - Пуск, протокол сохранить, сархивировать и прикрепить сюда.

    Если в нормальном AVZ вообще не работает, то сделайте это в безопасном, только переключите в Исследовании "Только активные службы и драйверы" на "Все службы и драйверы".
    I am not young enough to know everything...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Еще одна попытка. Просто запустить AVZ в Safe Mode. Выбрать "Пуск" и получившийся протокол прикрепить сюда.
    В логе HJ ничего особенного не видно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Хочеться посмотреть дамп, который создается во время этой ошибки.

  11. #10
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    2 Bratez
    Попытался сделать, как Вы предлагали - в нормальном режиме AVZ дает системную ошибку при сканировании в любом виде (как по стандартным скриптам, так и просто после пуска).
    В защищенном режиме: скрипт #1 выполнился - лог прилагаю.
    При выполнении Исследования - также выдает ошибку и переходит на синий экран надписью, что система была остановлена в виду серьезной системной ошибки бла-бла-бла.
    2 MaXim
    Дампы, образующиеся при вылете из системы - архиве.
    Последний раз редактировалось Gray; 03.06.2007 в 15:05.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуем так:
    1. В AVZ выберите в меню AVZPM - Установить драйвер расширенного мониторинга процессов. Перезагрузиться.
    2. В безопасном режиме запустить AVZ, на вкладке "Параметры поиска" поставить галки на "Блокировать работу Rootkit User mode" и ".... Kernel mode", нажать Пуск.
    Если отработает - протокол прикрепите сюда.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    2 PavelA
    Лог AVZ- "пуск" из режима Safe прилагаю
    2 Bratez
    Заметил, что в обычном режиме, а также в защищенном при "Исследовании системы" эта самая системная ошибка и выброз из винда происходит как раз во время сканирования Kernel Mode.
    Сейчас попробую сделать по Вашему алгоритму, если получится.
    DrWeb-CureIT находит Trojan.NtRootKit.248 в файле ksys.sys директории system32
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Поищите через AVZ файл:
    C:\WINDOWS\system32\svchоst.exe
    имя не вводите вручную, а скопируйте из этого сообщения!
    Добавьте в карантин и пришлите как указно в приложении 2 правил.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    Сначала высылаю последний лог,
    файл через AVZ нашел, сейчас вышлю
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    AVZ находит C:\WINDOWS\system32\svchоst.exe, но в карантин его почему-то не копирует??!

  17. #16
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    При попытке добавить в карантин "по списку" выдает ошибку:
    Ошибка карантина файла "C:\WINDOWS\system32\svchоst.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт в безопасном режиме:
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (надеюсь, он таки будет не пустой!).
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    Файл сохранён как070602_171815_virus_46616e17ed047.zipРазмер файла594MD517a34e99fd6621325301586f8d63d8f5

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Увы и ах Опять мимо.
    Поищите ksys.sys и сообщите полный путь папки где он лежит.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    24.04.2007
    Адрес
    Город-над-вольной-Невой
    Сообщений
    31
    Вес репутации
    62
    C:\WINDOWS\System32\ksys.sys
    У DRWeb - CureIT еще были претензии к C:\WINDOWS\System32\Drivers\ip6fw.sys

  • Уважаемый(ая) Gray, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Ip6Fw.sys, runtime.sys (Trojan.NtRootKit.497, BackDoor.Bulknet)
      От Jura Gorohovsky в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:18
    2. были Trojan.NtRootKit.248, Backdoor.Bulknet
      От Spy Gates в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:08
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:01
    4. Backdoor.Bulknet и trojan.ntrootkit.248
      От Vointorf в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:00
    5. Trojan.NtRootKit.248 + BackDoor.Bulknet
      От Valchara в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00400 seconds with 18 queries