-
проверьте пожалуйста
Доброго времени суток. принесли мне комп проверял ПК спомошью cureit и АВЗ...... cureati нашло 2 backdoor.bulknet и вроде как удалило
далие в обычном режими винды проверял спомощю авз она нашла такойже файл какой должна была удалить cureit и даже поместила в свой карантин......
логи авз я посмотрел вроде все чисто даже очень..... но мне кажеться что всетаки чтото осталось......
проверьте пожалуйста полностью доверяю вашей обьективности и провесеанолизму...
согласно правилам прилогаю логи
Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вот что осталось. Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
BC_DeleteSvc('runtime2');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки прислать карантин.
В качестве дополнения обновить Java до 1.6
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
[quote=PavelA;117549]Вот что осталось. Выполнить скрипт:
[code]
QuarantineFile('\SystemRoot\system32\drivers\runti me2.sys','');
quote]
блин а я думал runtime2.sys это стандартный драйвер помоемому даже атишный
яву к несчастью обновить не смогу у компа нет сейчас выхода в инет да и пусть кто заражал тот и обновляет
карантин закачал
Файл сохранён как 070622_111408_virus.fotorama_467b76c00d03a.zip
Размер файла 44749
MD5 750bc5a5a1f8f2c5cabb0ba22a74acb6
Последний раз редактировалось fotorama; 22.06.2007 в 11:14.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
runtime2.sys, runtime.sys + xpxd.sys - стандартный набор для данного зловреда. В последнем названии правда могу ошибаться.
Сейчас посмотрим на карантин на вирустотал. Кстати, сам можешь туда заглянуть с этим файлом, если Инет есть.
Да, и нужно логи заново сделать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
runtime2.sys, runtime.sys + xpxd.sys - стандартный набор для данного зловреда. В последнем названии правда могу ошибаться.
Сейчас посмотрим на карантин на вирустотал. Кстати, сам можешь туда заглянуть с этим файлом, если Инет есть.
Да, и нужно логи заново сделать.
логи щас зделаю а с радной ситемы выхода в инет нету.....
так бы проверил а сосвоей рабочей немогу унас на сервере вирус тотал стоит в закрытых ресурсах
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
До вирустотал карантин не доехал. Мой родной симантек убил runtime2.sys.
Ждем новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
До вирустотал карантин не доехал. Мой родной симантек убил runtime2.sys.
Ждем новые логи.
а что хоть это было и что оно делало?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
проще говоря чтото вроде обычного спамбота я правельно понел?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Оно самое. Причем очень популярное. За посл. неделю на этом форуме много тем с этой гадостью.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Оно самое. Причем очень популярное. За посл. неделю на этом форуме много тем с этой гадостью.
ясно... спасибо за помощь....
можно считать что комп чист?
меня еще интерисуют вот эти строчки они нормальные или же лутьше профиксить?
Код:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (в сособенности эта строчка)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Последний раз редактировалось fotorama; 22.06.2007 в 13:05.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
меня еще интерисуют вот эти строчки
Ничего вредного.
Первые две если пофиксите, ничего не потеряете, третью оставьте.
I am not young enough to know everything...
-
-
Сообщение от
Bratez
Ничего вредного.
Первые две если пофиксите, ничего не потеряете, третью оставьте.
понел щас сделаю
благодарю всех кто помогал.
Незнание закона не освобождает от ответственности.
Знание - запросто
-