Показано с 1 по 11 из 11.

Trojan backdoor.bulknet (заявка № 10505)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    20
    Вес репутации
    42

    Thumbs up Trojan backdoor.bulknet

    Здравствуйте! сначала аваст нашел три вируса:
    win32:Trojan-gen живет в ip6fw.sys
    win32:Agent-HKE создает random.exe в temp
    win32:small-EPJ - там же.
    обчитавшись всего и везде вроде бы добился того, что аваст и drwebcureit не видят угроз в ip6fw, а также не появляются random.exe. однако cureit регулярно в защищенном и незащищенном режиме находит и удаляет windows/temp/startdrv.exe.
    кроме того, при запуске avz во второй раз (пункт 10 правил) вместо кнопок черные поля, в окне скриптов пусто, кнопки по одкном скриптов тоже черные, поэтому приложить virusinfo_syscheck.zip не смог.
    и еще вопрос - чтобы словить эту дрянь обязательно было что-то заупстить, или все-таки достаточно зайти не на тот сайт и все словится "само"?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1365
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\docume~1\alex\locals~1\temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteSvc('runtime2');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_DeleteFile('c:\docume~1\alex\locals~1\temp\winlogon.exe');
     ExecuteSysClean;
     BC_Activate;
    RebootWindows(true);
    end.
    После попытайтесь сделать полные логи.
    Пофиксить:
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Alex\LOCALS~1\Temp\winlogon.exe
    O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
    Последний раз редактировалось Alex_Goodwin; 20.06.2007 в 08:33.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    msvcrtd.exe - свежая зараза, пока большинством антивирусов не ловится.
    Сегодня лечил такую на работе - открывает кучу портов и тормозит интернет по-черному

    После выполнения скрипта от Alex_Goodwin выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true,true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\windows\system32\msvcrtd.exe');
    BC_QrSvc('msupdate');
    BC_DeleteSvc('msupdate');
    BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил
    и сделайте новые логи.

    P.S. Мой экземпляр msvcrtd.exe только что добавлен в базу Касперского под именем Backdoor.Win32.Agent.apx.
    Последний раз редактировалось Bratez; 20.06.2007 в 12:55. Причина: свежая информация
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    20
    Вес репутации
    42
    а это круто! - быть подопытным кроликом, я даже почти горд тем, что словил дрянь одним из первых
    1. AVZ скрипт не вставлял, кнопки некоторые были черными. пришлось раскрутить вторую копию в другое место. после этого скрипт прошел.
    2. hijack: О4 после прогонки скрипта AVZ уже не было, а О23 пофиксил.
    3. запустить скрипт Bratez не удалось (в том числе после перезагрузки) ошибка: "not enough actual parameters в позиции 4:15"
    4. после все этих манипуляций комп стал нормально перегружаться (до этого вис на этапе сохранения параметров) и удалось получить все логи!
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,627
    Вес репутации
    1294
    Подправил скрипт Bratez:
    Код:
    begin
    SearchRootkit(true,true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\windows\system32\msvcrtd.exe', '');
    BC_QrSvc('msupdate');
    BC_DeleteSvc('msupdate');
    BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
    BC_Activate;
    RebootWindows(true);
    end.

  7. #6
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    20
    Вес репутации
    42
    файл карантина я выслал, а логи еще раз делать-высылать?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1365
    Скрипт AndreyKa выполнили? Если да, то все логи заново.

  9. #8
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    20
    Вес репутации
    42
    да, скрипт AndreyKa выполнил. карантин после него уже выслал. а вот и логи.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    У вас был такой же - Backdoor.Win32.Agent.apx
    В логах теперь все чисто.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    20
    Вес репутации
    42
    Здорово! Спасибо! у меня наконец трафик входящий превысил исходящий ) а то я отдавал в 10 раз больше,чем принимал.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,313
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\msvcrtd.exe - Backdoor.Win32.Agent.apx (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) AlexanderL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.Bulknet и Trojan.NtRootKit360.
      От Jynx в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:21
    2. Backdoor.Bulknet и trojan.ntrootkit.248
      От Vointorf в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:00
    3. Trojan.NtRootKit.248 + BackDoor.Bulknet
      От Valchara в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:54
    4. Backdoor.Bulknet и Trojan.NtRootKit.248
      От Gray в разделе Помогите!
      Ответов: 60
      Последнее сообщение: 22.02.2009, 01:52
    5. Trojan.Fakealert.1228+BackDoor.Bulknet.225+Trojan. Packed.619
      От Rlumiur в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.09.2008, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01595 seconds with 17 queries